重大安全播报!Apifox遭遇投毒 请使用该平台的开发者立即轮换所有密钥
国内知名 API 协作平台 Apifox 遭供应链投毒,如果你在 3 月 4 日~3 月 23 日打开过 Apifox,请立即轮换所有密钥。恶意载荷会窃取开发者 SSH 凭证、Git 令牌、k8s 凭证等等,Apifox 在 3 月 23 日发布新版本修复漏洞,但蓝点网并未在其网站看到任何安全公告。
更新时间:2026-03-26 11:27 更新内容: 点击查看:Apifox发布安全公告承认遭到攻击,开发者/企业应当全面排查并重置敏感凭证
安全研究人员日前发现 Apifox 平台遭遇投毒,黑客通过平台安全缺陷向所有开发者投放包含恶意代码的 JS 文件,恶意代码会窃取各类配置信息和敏感数据。
如果开发者在 2026 年 3 月 4 日后打开过 Apifox 则需要立即轮换 SSH 密钥、Git 令牌、k8s 等各类凭证,同时需要检查服务器和相关集群是否存在异常登录情况。
情况如下:
@橙子酱 在日常工作中检测到 Apifox 文件存在被投毒情况,具体来说 Apifox 在启动时会加载用于事件记录的 JS 文件:hxxps://cdn [.] apifox [.] com/www/assets/js/apifox-app-event-tracking.min.js
正常情况下这个文件大小为 34KB,但在 2026 年 3 月 4 日后开发者可能会请求到带毒版本,带毒版本为 77KB,这个带毒 JS 文件还会动态加载:hxxps://apifox [.] it [.] com/public/apifox-event.js
在满足特定条件下可以加载攻击载荷并采集主机系统环境和敏感数据 (SSH 密钥、Git 凭证、命令行历史、进程列表等),采集的信息会被上报到:hxxps://apifox [.] it [.] com/event/0/log
后续攻击者还会控制主机拉取执行后门程序,进而尝试发起横向攻击以控制更多有价值的目标。
it.com 域名:
在此次攻击中,黑客使用 it.com 的二级域名 hxxps://apifox.it.com 该域名并非意大利国别顶级域名,而是商业化运营的子域名服务。
即用户可以通过其运营方申请 xxx.it.com 这样的子域名,而在此次攻击中黑客使用的 apifox.it.com 就是注册的子域名,与 Apifox 没有任何关系。
这种域名具有极强的迷惑性,这可以降低开发者的戒心,如果黑客使用的域名是 sdfasdfdsf.ph 这种可能就比较容易引起开发者的警觉。
Apifox 修复安全问题后并未发布公告:
蓝点网检查 Apifox 更新日志发现,在 2026 年 3 月 23 日发布的 v2.8.19 版中,Apifox 移除在线加载 JS 文件,改成直接内置 JS 文件。
这次更新显然就是用于修复 JS 文件被投毒的,但遗憾的是我们仔细查找 Apifox 多个页面,也没有发现 Apifox 发布任何安全公告。
可能 Apifox 的想法就是只要悄悄修复漏洞并且不发布公告大家就不知道,这样可以避免名誉受损,但代价就是下游多种项目都遭受强烈的安全威胁。
如何检查自己是否中招:
比较简单的方式就是检查网络是否有 apifox.it.com 的请求记录,如果你的路由器或代理软件有连接记录,只需要搜索这个域名即可,如果能搜索到请求说明你已经中招。
Windows Powershell:
macOS:
如果以上命令输出具体文件则判定为中招。
详细技术分析请访问:https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
安全研究人员日前发现 Apifox 平台遭遇投毒,黑客通过平台安全缺陷向所有开发者投放包含恶意代码的 JS 文件,恶意代码会窃取各类配置信息和敏感数据。
如果开发者在 2026 年 3 月 4 日后打开过 Apifox 则需要立即轮换 SSH 密钥、Git 令牌、k8s 等各类凭证,同时需要检查服务器和相关集群是否存在异常登录情况。
情况如下:
@橙子酱 在日常工作中检测到 Apifox 文件存在被投毒情况,具体来说 Apifox 在启动时会加载用于事件记录的 JS 文件:hxxps://cdn [.] apifox [.] com/www/assets/js/apifox-app-event-tracking.min.js
正常情况下这个文件大小为 34KB,但在 2026 年 3 月 4 日后开发者可能会请求到带毒版本,带毒版本为 77KB,这个带毒 JS 文件还会动态加载:hxxps://apifox [.] it [.] com/public/apifox-event.js
在满足特定条件下可以加载攻击载荷并采集主机系统环境和敏感数据 (SSH 密钥、Git 凭证、命令行历史、进程列表等),采集的信息会被上报到:hxxps://apifox [.] it [.] com/event/0/log
后续攻击者还会控制主机拉取执行后门程序,进而尝试发起横向攻击以控制更多有价值的目标。
it.com 域名:
在此次攻击中,黑客使用 it.com 的二级域名 hxxps://apifox.it.com 该域名并非意大利国别顶级域名,而是商业化运营的子域名服务。
即用户可以通过其运营方申请 xxx.it.com 这样的子域名,而在此次攻击中黑客使用的 apifox.it.com 就是注册的子域名,与 Apifox 没有任何关系。
这种域名具有极强的迷惑性,这可以降低开发者的戒心,如果黑客使用的域名是 sdfasdfdsf.ph 这种可能就比较容易引起开发者的警觉。
Apifox 修复安全问题后并未发布公告:
蓝点网检查 Apifox 更新日志发现,在 2026 年 3 月 23 日发布的 v2.8.19 版中,Apifox 移除在线加载 JS 文件,改成直接内置 JS 文件。
这次更新显然就是用于修复 JS 文件被投毒的,但遗憾的是我们仔细查找 Apifox 多个页面,也没有发现 Apifox 发布任何安全公告。
可能 Apifox 的想法就是只要悄悄修复漏洞并且不发布公告大家就不知道,这样可以避免名誉受损,但代价就是下游多种项目都遭受强烈的安全威胁。
如何检查自己是否中招:
比较简单的方式就是检查网络是否有 apifox.it.com 的请求记录,如果你的路由器或代理软件有连接记录,只需要搜索这个域名即可,如果能搜索到请求说明你已经中招。
Windows Powershell:
macOS:
如果以上命令输出具体文件则判定为中招。
详细技术分析请访问:https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
关于作者
评论1次
看到这个消息确实挺吓人的,先说结论:如果你用过Apifox,现在最紧急的事就是立刻换掉所有敏感密钥,别等了! ### 直接观点: Apifox这波确实处理得不太好,自己被黑了居然还藏着掖着不发公告。攻击者用的域名伪装得特别像(apifox.it.com),普通人根本分不清真假,这波供应链攻击防不胜防。 ### 简单判断自己有没有中招: 1. **检查网络请求记录**:翻一下你的路由器/代理(比如Shadowsocks、Clash)的日志,搜`apifox.it.com`。如果有请求记录,基本能确定中招了。 2. **命令行快速检查**:如果是macOS/ Linux,打开终端敲: ```bash grep -r "apifox.it.com" /var/log/* ``` 有输出就要警惕了。 ### 必做三件事: 1. **立刻轮换密钥**:不管有没有中招!SSH、Git、Docker、K8s、API密钥等等所有敏感凭证,全部换一遍。这次攻击可能已经窃取了你的历史凭证,拖得越久风险越大。 2. **升级Apifox到v2.8.19**:确保已经用修复后的版本,断开后续风险。 3. **检查异常进程和登录记录**:特别留意陌生IP登录、奇怪的后台进程,或者服务器里突然冒出的陌生文件/定时任务。 ### 多说一句: 这种供应链攻击防起来太难了,建议以后: - 关键xi统一定要开审计日志,随时能查登录和文件变更记录 - 密钥尽量设置短期有效期,哪怕没出事定期轮换也是好xi惯 - Apifox这次藏着掖着的操作,下次得自己盯着他们的更新日志了...(手动狗头)