近期有使用的快排查下吧
官方通告链接: https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig
近期我们排查发现,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在 [ 2026 年 3 月 4 日] 至 [ 2026 年 3 月 22 日] 期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。
攻击者使用的 C2 恶意域名( apifox[.]it.com )当时托管在 Cloudflare ,存活 18 天( 2026 年 3 月 4 日 至 2026 年 3 月 22 日)。目前该域名已无法访问,没有持续发生恶意行为,我们当前无法复现现场。但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/ 、~/.zsh_history 、~/.bash_history 、~/.git-credentials 等)。可能会上报到该恶意域名( apifox[.]it.com )。我们正在联合安全团队持续进行深度溯源。
 |
101
zb1141920796 3 天前
@fstab 这个我也用了,我还是永久付费用户,但是这个主要用来干测试的吧。。。
|
 |
102
seedhk 3 天前
我有两个问题,有没有大佬能解答:
1.客户端里加载的 js ,为什么会被替换,cdn 那里出了问题? 2.我用的 mac15 ,有影响吗 |
 |
103
leegradyllljjjj 3 天前  2
开除一定要要快!
有人截图了 |
 |
104
coconutwater 3 天前 2
@miku999 #29 不会就是这篇文章里的小张吧,https://blog.csdn.net/weixin_72565295/article/details/125847715
|
 |
105
Ketteiron 3 天前 9
@eviladan0s #98 供应链攻击是一个极其容易被滥用的词,特别是厂商需要甩锅时。
https://www.cloudflare.com/zh-cn/learning/security/what-is-a-supply-chain-attack/ 实际上它指的是第三方依赖项作为被信任的一环却包含了恶意代码,而上层软件间接成为攻击的一环。 正常的供应链攻击是这样: 黑客->依赖项->第三方软件->用户 此次攻击是这样: 黑客->第三方软件(apifox 服务端)->用户 这不是供应链攻击,单纯的就是 apifox 服务的某一环例如 CI/CD 被攻破了 作为被攻破的一环,还敢称"遭受供应链攻击",除非是 apifox 使用了其他的第三方软件存在问题,该软件恶意篡改了静态资源文件导致了事故,那他们必须说明是哪一环节出了问题,这才是正经的安全通告。 |
 |
106
beloved70020 3 天前
已卸载
|
 |
107
lguan 3 天前
apifox 我有段时间不用了,之前也是项目被逼的用,他们那个 app 做的并不好,而且很占只用,一看到这个新闻,第一反应就是卸载了,没啥好说的
|
 |
108
capric 3 天前
@hahawode
POST https://your-api.com/upload HTTP/1.1 Content-Type: multipart/form-data; boundary=boundary --boundary Content-Disposition: form-data; name="file"; filename="example.txt" < ./path/to/your/file.txt --boundary-- |
 |
109
zed1018 3 天前
中午觉也没睡成,ssh github gitlab k8s token 全部轮了一遍。IOC 标识和 DNS 解析记录都表明我中奖了。
|
 |
110
maxwellz 3 天前
已中招,还在评估风险中
|
 |
111
nicoljiang PRO @YIsion 你低估了,electron 用了 nodejs 相当于提权了。
|
 |
112
horou 3 天前
从 dns 记录下线到新版本更新这个时间线来看,我感觉大概率是内鬼
|
 |
113
weilongs 3 天前
登记一下 我也中了.
|
 |
114
lavvrence 3 天前
这工具我第一天听说的时候就感觉不太靠谱。
|
 |
115
Jiajin 3 天前
用的 rapidapi.app ,以前的 paw ,应该不会有类似的问题吧
|
 |
116
lujiaosama 3 天前
@seedhk 装了火绒没用啊, 一样会中招.
|
 |
117
huddle2689 3 天前
中招了...
太吓人了,我的 .ssh/config 记录了几乎所有服务器地址,ssh 密钥没设置 passphrase 。吸取教训花了半天功夫重装了电脑,把服务器和密钥全部重设完了 |
 |
118
yuchen198 3 天前
|
 |
119
louistsangjk 3 天前
…公司好多人中招了,主要是出了问题偷偷修复,不紧急告诉所有用户去处理
|
 |
120
afkool 3 天前
 这不是扯淡嘛。。 |
 |
121
momo31 3 天前
真该死,中招了
 |
 |
122
guguji5 3 天前
@HuskyYellow #73 感谢啊,,原来是这样,我得换换密码
|
 |
123
tutusolo 3 天前
@YIsion
1. ❌ 没有沙箱模式 (No Sandbox) Apifox 没有使用 macOS App Sandbox ,意味着它可以访问整个文件系统 2. ⚠️ Electron + Node.js Apifox 是 Electron 应用,内置 Node.js 环境,可以直接执行系统命令: require('child_process').exec('cat ~/.ssh/id_rsa') 3. 网络权限 NSAllowsArbitraryLoads=true 允许连接任意域名,包括恶意域名 apifox.it.com --- 结论 是的,Apifox 可以读取您的主目录。 由于没有沙箱限制,被植入的恶意代码可以: 1. 读取 ~/.ssh/ 中的 SSH 密钥 2. 读取 Git 配置和凭证 3. 读取命令历史 4. 执行任意系统命令 建议立即行动: 1. 删除 SSH 密钥并重新生成 2. 更改 Git 远程仓库密码 3. 清除 localStorage 和 Session Storage 4. 等待官方修复版本 这是 ai 排查的结果 |
 |
124
ch3nOr 3 天前
localStorage.getItem('_rl_mc')
'453bc53c71b0d9f18896690aee9128529ec2261d5c515d0b7dedf4fca90d88ed' 中招了呀,太变态了吧 |
 |
125
tonariiii 3 天前
有没有人分析出来到底留没留其他后门?
|
 |
127
flyqie 3 天前 via Android
|
 |
129
JarvanIV 3 天前
md 中招了,早上一来公司安全同事就发消息了,然后今天重装系统装软件配环境搞了一天
|
 |
130
realpg PRO 没有任何证据证明这是个供应链攻击
已知信息推测结果完全相反,这并不是供应链攻击 |
 |
131
ysc3839 3 天前 via Android
@YIsion 在旧版本 macOS 试过,只会限制桌面、下载等几个特定文件夹,用户目录下是不会限制的,不确定新版本情况如何。
你可以找个终端 app ,执行命令访问看看能否成功访问,能的话说明没限制。 |
|
132
ysc3839 3 天前 via Android
@tutusolo macOS 对非商店应用还是启用了弱化版的沙盒的,至少会限制访问桌面、下载等几个特定文件夹,会限制录音录像录屏,但不会限制访问用户目录下的文件。
这个沙盒对 root 权限无效,如果应用要求输入账户密码提权,那就可以绕过限制。 只能说有用,但用处不是很大,不能保证完全安全。 |
 |
133
5had0w 3 天前
吗的,用了几年的 postman ,上周新电脑想着试试 apifox ,结果就出现这事?
|
 |
134
99s 3 天前
软件占内存,还好用 web 端逃过一劫
|
 |
136
codersdp1 3 天前
@czy0612 #85 大佬 mac 下
grep -arlE "rl_mc|rl_headers" "$HOME/Library/Application Support/apifox/Local Storage/leveldb" 正常 但是 grep "apifox.it.com" "$HOME/Library/Application Support/apifox/Network Persistent State" 有输出,这中招没?? |
 |
137
dule 3 天前
没中招,这次规模不小啊,基本用这软件的估计都逃不了,之前 v 站就有人让推荐这类软件,我给的评论就是尽量不要用在线联网的,天然就不大信任,尽量用离线版本或者内网
|
 |
138
IceRovah 3 天前
真中招了,怕怕
|
 |
139
moudy 3 天前
@stinkytofux mac keychain 呢
|
|
140
dule 3 天前 1
应该庆幸没搞什么勒索病毒,全文件加密的操作,不然大伙都没空在这聊天的
 |
 |
142
snakejia 2 天前
这个有必要重装系统吗
|
 |
144
sarices 2 天前
mac 连这个目录也没有应该没问题吧 $HOME/Library/Application Support/apifox
|
 |
145
w977741432 2 天前
linux ,Flatpak 包管理安装的 apifox, 以下命令有输出,可以确认是否被泄密了:
grep "apifox.it.com" "$HOME/.var/app/com.apifox.Apifox/config/apifox/Network Persistent State" grep -arlE "rl_mc|rl_headers" "$HOME/.var/app/com.apifox.Apifox/config/apifox/Local Storage/leveldb" @czy0612 |
 |
146
tommyshelbyV2 2 天前
坏菜了,中招了,换密钥搞了半天
|
 |
149
fstab 2 天前
@zb1141920796 #101 也可以 post 请求,我一般用来测试 openlist 的接口,
然后搞一些自动化的东西,处理家里面的 nas 和挂载在云盘的数据。 |
Select Language