近期接教育网信发布信息,监测到Apifox桌面客户端软件遭遇供应链投毒攻击(Windows/macOS/Linux全平台均受影响),其动态加载的外部JavaScript文件被恶意篡改。在2026年3月4日至3月22日期间,使用过Apifox桌面客户端的设备,均存在敏感信息泄露、主机被控制及被利用横向攻击风险。
一、风险详情
1.产品与框架:Apifox为API一体化协作平台,桌面端基于Electron框架开发,支持Windows、macOS、Linux。
2.漏洞成因:攻击者控制Apifox基础设施,投放恶意JS文件。Apifox客户端未严格启用sandbox沙箱参数,且暴露Node.js API接口,导致可通过JS控制用户终端。
3.攻击特征:恶意C2域名apifox.it.com(托管于Cloudflare,攻击窗口期18天),已探明恶意行为包含本地高敏感文件窃取。
三、风险危害
1.窃取主机敏感信息:SSH密钥、Git凭证、Shell命令历史、known_hosts已知服务器列表、系统进程、磁盘内文件名列表等。
2.执行后门程序,获取主机控制权。
3.以受控主机为跳板,发起内网横向渗透攻击。
四、受影响范围
在2026年3月4日至3月22日期间,使用过Apifox桌面客户端的全部用户,覆盖Windows/macOS/Linux全平台。Web版本、私有化部署版本本次不受影响。
五、排查方法
Windows用户可在PowerShell中执行:Select-String -Path $env:APPDATA\apifox\Local Storage\leveldb\* -Pattern rl_mc,rl_headers -List | Select-Object Path
macOS用户可在命令行中执行:grep -arlE rl_mc|rl_headers ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
如果以上命令输出具体文件,则可判定为已被成功攻击。请注意,由于被检查的文件为缓存文件,存在假阴性可能,如果您在本次攻击暴露窗口的19天内曾使用过Apifox桌面客户端,有极大概率已遭到攻击。
六、处置与修复建议
1.立即升级客户端:尽快更新至Apifox 2.8.21及以上最新版本。
2.全面更替敏感凭证:在暴露时间窗口内使用过Apifox软件的终端设备,需立即排查并更替以下凭证:
~/.ssh/ 或 C:\Users\[用户名]\.ssh
注意应对所有服务器上的ssh私钥进行更换,可通过 known_hosts 列出曾登录过的服务器,并对git服务器上的ssh私钥进行更换。
~/.zsh_history、~/.bash_history、~/.zshrc、~/.npmrc 等,命令历史,以及环境配置中泄露的密钥等敏感信息
~/.git-credentials Git 明文凭证(GitHub PAT、GitLab Token)
~/.kube/* Kubernetes 集群配置(含 token、集群 API 地址)
数据库密码、云服务AccessKey、环境变量等所有鉴权信息
3.全盘病毒查杀:本次攻击具备远程投放木马能力,请安装最新杀毒软件对全盘文件进行查杀。如受攻击时已安装杀毒软件,请清空杀软信任区/白名单后进行查杀。
4.本地电脑阻断恶意域名:修改系统hosts文件,添加一行127.0.0.1 apifox.it.com
5.网络层封禁恶意域名:禁止解析apifox.it.com来阻断访问。
6.安全核查:对相关设备进行日志审计、进程查杀与恶意文件排查,避免后门残留。
来源:教育网信发布