Apifox 遭受恶意外部 JavaScript投毒攻击
近日,工作中监测到 Apifox 文件存在被投毒情况。 Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用 sandbox 参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。
致全体 Apifox 用户:
近期我们排查发现,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在【2026年3月4日】至【2026年3月22日】期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。
Apifox 私有化版不受此次事件影响。攻击者使用的 C2 恶意域名(apifox.it.com)当时托管在 Cloudflare,存活 18 天。目前该域名已无法访问,没有持续发生恶意行为,我们目前无法复现现场。
但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/、~/.zsh_history、~/.bash_history、~/.git-credentials 等),可能会上报到该恶意域名。我们正在联合安全团队持续进行深度溯源。我们对此起严重的安全事件深表歉意,并已完成紧急修复:一、 我们的修复方案(已完成) 我们已紧急发布 2.8.19 修复版本,并且开启了自动更新提醒。在该版本及后续更新中,我们已彻底废除该文件的在线动态加载机制,改为本地内置打包,从物理层面完全切断了此类攻击路径。我们内部已重置所有服务器相关的安全凭证。二、 请您立即采取的行动(极其重要) 为了保障您的资产安全,我们强烈建议您:
1.立即升级: 请尽快将 Apifox 客户端升级至 2.8.19 或最新版本。
2.重置凭证: 若您在上述风险时间段内使用过受影响版本,请务必联系您的团队,全面排查并重置在设备里的存储过的敏感凭证(包括但不限于 Git 密钥、鉴权密钥、数据库密码、云服务 Access Key 及环境变量等)。
3.阻断恶意域名: apifox.it.com ,可以在 host 文件里增加配置:127.0.0.1 apifox.it.com
三、 本次事件受影响范围: 受影响用户为“公网 SaaS 版 Apifox 桌面客户端”用户。SaaS Web 版用户不受影响;私有化部署版用户不受影响。作为一款开发者工具,安全是我们的底线,我们目前已启动深度的代码审计与溯源调查,以及全面排查和完善我们产品的安全性。
除此之外有相关分析文章《Apifox 供应链投毒攻击 — 完整技术分析》:https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
仔细来想为什么这次事件危险级别极高?
它不是普通数据泄露,而是:
• 🔑 直接窃取核心凭证(SSH Key / Git Token / K8s / npm)
• 🧠 读取开发者历史行为(Shell history)
• 🖥️ 获取系统执行能力(RCE)
• 🌐 具备横向扩散能力(内网渗透)
👉 换句话说:一旦中招,攻击者可以“接管你的整个开发体系”。
🧨 这次攻击最关键的3个点
1. 信任链被击穿(CDN → 本地执行) • 开发工具默认信任远程 JS • 未做 SRI / 完整性校验
2. 开发环境权限过高 • 本地机器 = 拥有服务器 / Git / 云权限入口
3. 工具成为攻击入口 • API 工具(Apifox)本身变成“木马载体”
关于作者
评论1次
兄弟们!这事儿必须严肃对待!简单说3点: 1. **危险xi数拉满**:这攻击直接能偷走你的SSH密钥、Git凭证这些"钥匙中的钥匙",相当于给黑客开了你开发环境的后门。想象下,他们能直接黑进你的服务器、云账号,甚至还能从你的命令历史里扒出更多敏感操作,这比普通数据泄露可怕多了。 2. **现在必须马上做这三件事**: - **立刻升级到2.8.19**(别等!哪怕中断手头工作也要先升) - **狂暴式重置凭证**:所有在这期间用过的地方(云Access Key、SSH密钥、Git token这些)全部换掉!哪怕没发现异常也得换,因为攻击是概率触发的 - **hosts文件封堵**:赶紧把127.0.0.1 apifox.it.com加进去,防止残留脚本还在偷偷连接 3. **后续必须自查**: - 检查云平台的API密钥使用记录,看有没有异常访问 - 翻下最近服务器的日志,留意有没有陌生IP登录记录 - 考虑换用私有化版本,毕竟SaaS工具再怎么防还是有供应链风险 这事儿暴露了开发工具的安全隐患——我们总把开发环境当"安全区",但如今攻击已经进化到直接从开发工具切入核心权限了。下次用任何工具前,记得优先看它怎么加载外部资源!