Apifox外部JS文件供应链投毒风险预警

一、情况概述
文章转载至：教育网信发布
近期监测到Apifox桌面客户端软件遭遇供应链投毒攻击（Windows/macOS/Linux全平台均受影响），其动态加载的外部JavaScript文件被恶意篡改。在2026年3月4日至3月22日期间，使用过Apifox桌面客户端的设备，均存在敏感信息泄露、主机被控制及被利用横向攻击风险。

二、风险详情

1. 产品与框架：Apifox为API一体化协作平台，桌面端基于Electron框架开发，支持Windows、macOS、Linux。

2. 漏洞成因：攻击者控制Apifox基础设施，投放恶意JS文件。Apifox客户端未严格启用sandbox沙箱参数，且暴露Node.js API接口，导致可通过JS控制用户终端。

3. 攻击特征：恶意C2域名apifox.it.com（托管于Cloudflare，攻击窗口期18天），已探明恶意行为包含本地高敏感文件窃取。

三、风险危害

1. 窃取主机敏感信息：SSH密钥、Git凭证、Shell命令历史、known_hosts已知服务器列表、系统进程、磁盘内文件名列表等。

2. 执行后门程序，获取主机控制权。

3. 以受控主机为跳板，发起内网横向渗透攻击。

四、受影响范围

在2026年3月4日至3月22日期间，使用过Apifox桌面客户端的全部用户，覆盖Windows/macOS/Linux全平台。Web版本、私有化部署版本本次不受影响。

五、排查方法

Windows用户可在PowerShell中执行：

Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

macOS用户可在命令行中执行：

grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

如果以上命令输出具体文件，则可判定为已被成功攻击。请注意，由于被检查的文件为缓存文件，存在假阴性可能，如果您在本次攻击暴露窗口的19天内曾使用过Apifox桌面客户端，有极大概率已遭到攻击。

六、处置与修复建议

1. 立即升级客户端：尽快更新至Apifox 2.8.21及以上最新版本。

2. 全面更替敏感凭证：在暴露时间窗口内使用过Apifox软件的终端设备，需立即排查并更替以下凭证：

• ~/.ssh/ 或 C:\Users[用户名].ssh：注意应对所有服务器上的ssh私钥进行更换，可通过 known_hosts 列出曾登录过的服务器，并对git服务器上的ssh私钥进行更换。

• /.zsh_history、/.bash_history、/.zshrc、/.npmrc 等，命令历史，以及环境配置中泄露的密钥等敏感信息

• ~/.git-credentials：Git 明文凭证（GitHub PAT、GitLab Token）

• ~/.kube/*：Kubernetes 集群配置（含 token、集群 API 地址）

• 数据库密码、云服务AccessKey、环境变量等所有鉴权信息

3. 全盘病毒查杀：本次攻击具备远程投放木马能力，请安装最新杀毒软件对全盘文件进行查杀。如受攻击时已安装杀毒软件，请清空杀软信任区/白名单后进行查杀。

4. 本地电脑阻断恶意域名：修改系统hosts文件，添加一行127.0.0.1 apifox.it.com

5. 网络层封禁恶意域名：禁止解析apifox.it.com来阻断访问。

6. 安全核查：对相关设备进行日志审计、进程查杀与恶意文件排查，避免后门残留。

七、外部参考

1. https://docs.apifox.com/8392582m0

2. https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis