Mac:
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
Windows:
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path
Linux:
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/
以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.
如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查
Mac:
sudo dscacheutil -q host -a name apifox.it.com
Linux, Windows 请 V 友们补充.
为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉
127.0.0.1 apifox.it.com
以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.
第 1 条附言 · 1 天前
v 友 @yghack 搞了一个检测脚本: https://github.com/espoir1989/apifox_ioc_check
 |
1
liu731 PRO |
 |
2
mrhuhehe 1 天前
Mac ,上面命令没输出但下面有解析记录,如何判断
|
 |
3
JoeJoeJoe OP PRO |
 |
5
ersic 1 天前
apifox\Local Storage\leveldb\000095.ldb
完了,真麻烦 |
 |
6
licoycn 1 天前
密钥使用 ed25519 ,应该没啥问题吧
|
|
7
JoeJoeJoe OP PRO |
 |
8
rich1e 1 天前
op 帮忙看看
  前段时间,一直在用 apifox ,结合 mcp ,用的嘎嘎爽。 昨天就看到消息了,没放心上,发现会影响 ssh ,心慌。 |
|
11
rich1e 1 天前
@JoeJoeJoe #10
感谢。 只使用过 web 端,没有下载 apifox 的客户端。 https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/ |
 |
12
Smileh 1 天前
还好我用的 apipost
|
 |
13
RayJiang9 1 天前
昨天发现中招了,把 ssh 改成用 Bitwarden 管理一劳永逸
|
|
14
JoeJoeJoe OP PRO  1
|
 |
15
windorz 1 天前
✅ 未发现泄露迹象:
- SSH 私钥最后访问:2026-01-21. 已经卸载了. |
 |
16
xwh201314 1 天前
只有文件
C:\Users\admin\AppData\Roaming\apifox\Local Storage\leveldb\000207.ldb 算中招吗 |
 |
19
PrtScScrLk 1 天前
@JoeJoeJoe #14 是,这次真的危机感很重了,不过刚想了下自己好像也没什么数字资产。哈哈哈给自己逗乐了。这次真的只是个开始,现在准备着手重装一下自己手上的主机,ssh key 已经全部清空轮换了。唉,有种自己家被人随意进出的感觉。真难受啊。昨天都没睡好觉。降本增笑的事情这几年越来越多了。
|
 |
20
czhen 1 天前
个人电脑有什么好的防护措施吗? 也搞白名单?
|
|
21
PrtScScrLk 1 天前
@windorz 我一个平台,很久没用了,登录上去看到最近一次 ssh key 使用 3.7 ,人麻了。= =还好看了一下是很多过时的内容,应该不会怎么样。
|
|
22
JoeJoeJoe OP PRO @PrtScScrLk #21 哈哈哈哈 仔细检查一下, 别侥幸. 其实黑客也会筛选目标, 普通用户没啥太大的价值, 只能当个肉鸡跳板啥的.
@czhen AI 的安全防护目前应该是空白, 坐等安全厂商吧. |
 |
23
willxiang 1 天前
PS C:\Windows\system32> Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path
Path ---- C:\Users\AppData\Roaming\apifox\Local Storage\leveldb\000250.ldb 这表明已经中招了?  |
 |
25
lp4298707 1 天前
不知道为啥,我连 apifox 这个目录都没有
|
 |
27
shuiduoduo 1 天前
是整个系统的文件都泄露了吗
|
 |
28
yghack 1 天前
|
|
29
JoeJoeJoe OP PRO @shuiduoduo 敏感信息吧, "SSH 私钥、Git 凭证和命令行历史" 现在披露的好像是这些
|
 |
30
darksword21 PRO @liu731 哥们你这不是 fake ip 吗
|
 |
31
devezio 1 天前
同中招
/Users/ezio/Library/Application Support/apifox/Local Storage/leveldb/000014.ldb 我司 gitlab 都是内网的,应该没事吧 |
 |
33
cz5424 1 天前
貌似过年前就删掉了这个软件
|
 |
34
AkaGhost 1 天前
中招了,去轮换 SSH 密钥了
|
 |
35
safdi 1 天前
 这个输出是中招了吗? |
|
36
JoeJoeJoe OP PRO |
 |
39
p2007 1 天前
不知道恶意脚本有没有干其他事情
|
 |
40
rlarnsgur 1 天前
前几天刚把系统升级成 macOS 26 ,并且恢复了出厂设置,apifox 还没来得及安装,看到这个。。。
|
 |
42
codersdp1 1 天前
已经升级到最新版后,再执行 grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
发现没有输出,这个中招没? |
|
43
JoeJoeJoe OP PRO @codersdp1 应该是没有, 可以再走下 sudo dscacheutil -q host -a name apifox.it.com 这个看看
|
|
46
codersdp1 1 天前
@JoeJoeJoe #43 我把 apifox.it.com 配置到 host 了,现在只能查到
❯ sudo dscacheutil -q host -a name apifox.it.com Password: name: apifox.it.com ip_address: 127.0.0.1 |
|
48
JoeJoeJoe OP PRO @codersdp1 #46 哈哈哈哈 应该没啥事.
还有一种查看的方法好像是看 github 的敏感信息日志: https://github.com/settings/security-log 如果被操作了, 会留痕. |
 |
51
wwwwjack 1 天前
当时还跟公司强烈推荐过这个玩意, 还好最终没采用 想象真阔怕
|
 |
52
coderzhangsan 1 天前
windows 已中招,昨天就卸载 apifox 了,万幸的是 github 一直没登录过,在本地没有密钥,git 密钥放在其他目录下,没有在.ssh 目录下,查看 gitlab 日志没有非法的日志记录,不过出于安全考虑,依然换了 git 密钥,想咨询下 OP ,window 下 shell 软件会话配置会被窃取吗?个人用的 securecrt ,远程服务器有跳板机,使用的是密码,没有使用密钥。
|
|
53
JoeJoeJoe OP PRO 1
|
 |
55
C64NRD 1 天前
一直没开过 apifox ,dns 历史竟然有记录?
|
 |
57
IceRovah 1 天前
我把之前的帖子喂给 codex ,让它帮我查的,中招了。
现在 apifox 卸载了,密钥全换,新的密钥也都加上密码了。 查 github security log ,暂没发现异常,还有公司的阿里云仓库,我看不到日志,不过至少没有奇奇怪怪的提交记录。 不过话说回来,idea 插件直接导出到 apifox 真心方便,不知道有没有平替。 现在努力适应 bruno 中。 |
Select Language