一、风险概述

Apifox是用于API开发、测试、联调的一款工具，它集API文档管理、API调试、API数据Mock、API自动化测试于一体。其桌面客户端基于Electron框架开发，支持Windows/macOS/Linux三端。近期，Apifox遭遇供应链投毒攻击，攻击者篡改了Apifox官方CDN上的动态JS文件，在大量开发者电脑上植入隐蔽后门，最终可实现凭证窃取和远程命令执行等恶意功能。此次攻击影响公网SaaS版桌面客户端（Electron框架），Web版和私有化部署版不受影响。

二、风险详情

官方CDN上被篡改的JS文件为“hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js”，原有代码是Apifox用于事件追踪的SDK，在Apifox启动过程中加载，正常大小为34KB。但在3月4日之后请求到的文件体积膨胀至77KB，其中添加了恶意代码，使得投毒后的JS文件动态加载“hxxps://apifox.it.com/public/apifox-event.js”。

其中apifox.it.com为攻击者模仿官方域名使用的恶意域名。由于Apifox桌面客户端基于Electron开发，未严格启用sandbox参数，且暴露了Node.js API（fs、child_process、os、crypto等），导致渲染进程可直接访问本地文件系统和执行系统命令。

三、风险危害

1.窃取主机敏感信息：SSH密钥、Git凭证、Shell命令历史、known_hosts已知服务器列表、系统进程、磁盘内文件名列表等；

2.执行后门程序，获取主机控制权；

3.以受控主机为跳板，发起内网横向渗透攻击。

四、受影响范围

在2026年3月4日至3月22日期间，使用过Apifox桌面客户端的全部用户，覆盖Windows/macOS/Linux全平台。

五、防护与处置措施

Appfix官方已发布2.8.19修复版本，在该版本及后续更新中，彻底废除在线动态加载，改为本地内置打包。官方内部已重置所有服务器相关的安全凭证。

（1）尽快将Apifox客户端升级至2.8.19或更高版本。

（2）如果在3月4日之后使用过受影响版本，全面排查并重置在设备里的存储过的敏感凭证（包括但不限于Git密钥、鉴权密钥、数据库密码、云服务AccessKey及环境变量等）。

   Windows用户可在PowerShell中执行：Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

macOS用户可在命令行中执行：grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

如果以上命令输出具体文件，则可判定为已被成功攻击。请注意，由于被检查的文件为缓存文件，存在假阴性可能，如果您在本次攻击暴露窗口的19天内曾使用过Apifox桌面客户端，有极大概率已遭到攻击。

（3）在网络层面封禁apifox.it.com及其所有子域名。