lltx/apifox-security-advisory.md

## apifox-security-advisory.md

      
    Raw
  

              apifox-security-advisory.md
            
          
    Apifox 供应链攻击安全事件处理建议


事件时间：2026年3月4日 - 2026年3月22日
发布日期：2026年3月25日
严重等级：高危

事件概述

Apifox 公网 SaaS 版桌面客户端动态加载的外部 JavaScript 文件遭到恶意篡改（供应链攻击）。攻击者通过 C2 恶意域名 apifox.it.com（托管于 Cloudflare）持续活跃 18 天，恶意脚本可能读取用户本地高敏感文件并上报至攻击者服务器。
受影响范围：

✅ 受影响：公网 SaaS 版 Apifox 桌面客户端用户（2026年3月4日 - 3月22日期间使用过）
❌ 不受影响：SaaS Web 版用户
❌ 不受影响：私有化部署版用户


可能泄露的敏感信息

恶意脚本具有概率性触发特征，触发时可能读取以下本地文件：


文件路径
包含内容


~/.ssh/
SSH 私钥、公钥、known_hosts


~/.zsh_history
zsh 命令历史（可能含密码、token）


~/.bash_history
bash 命令历史（可能含密码、token）


~/.git-credentials
Git 凭证（用户名/密码/token）


环境变量
API Key、数据库密码、云服务 Access Key


立即行动清单

1. 升级 Apifox 客户端

立即将 Apifox 桌面客户端升级至 v2.8.19 或更高版本。
该版本已彻底废除外部 JS 动态加载机制，改为本地内置打包，从根本上切断此类攻击路径。
2. 阻断恶意域名

在系统 hosts 文件中添加以下配置，阻断 C2 域名：
# macOS / Linux
sudo echo "127.0.0.1 apifox.it.com" >> /etc/hosts

# Windows（以管理员身份运行）
# 编辑 C:\Windows\System32\drivers\etc\hosts
# 添加：127.0.0.1 apifox.it.com
3. 全面排查并重置凭证

SSH 密钥
# 查看现有 SSH 密钥
ls -la ~/.ssh/

# 生成新的 SSH 密钥对
ssh-keygen -t ed25519 -C "your_email@example.com"

# 更新 GitHub/GitLab/Gitee 等平台的 SSH 公钥
# 并吊销旧密钥
Git 凭证
# 查看 git-credentials 内容
cat ~/.git-credentials

# 清除本地 git 凭证缓存
git credential reject  # 或直接删除文件
rm ~/.git-credentials

# 在 GitHub/GitLab 等平台撤销并重新生成 Personal Access Token
命令历史排查
# 检查历史中是否含有明文密码或 token
grep -i "password\|token\|secret\|key\|passwd" ~/.zsh_history
grep -i "password\|token\|secret\|key\|passwd" ~/.bash_history
云服务凭证

AWS：轮换 IAM Access Key / Secret Key
阿里云：轮换 AccessKey ID / AccessKey Secret
腾讯云：轮换 SecretId / SecretKey
其他云平台：同步轮换所有 Access Key

数据库密码

重置所有数据库用户密码
检查数据库连接字符串是否曾出现在命令历史中

其他 API Token

重置所有第三方服务的 API Key（如 OpenAI、Slack、钉钉等）
检查 .env 文件是否曾通过命令行操作暴露

4. 检查异常登录与访问记录

# 检查 SSH 登录记录（Linux/macOS）
last
lastlog

# 检查 authorized_keys 是否被篡改
cat ~/.ssh/authorized_keys
同时检查：

GitHub/GitLab 的登录记录和 OAuth 授权
云控制台的操作日志
数据库访问日志


技术分析


项目
详情


攻击类型
供应链攻击（Supply Chain Attack）


攻击向量
外部 JavaScript 动态加载被篡改


C2 域名
apifox.it.com


C2 托管
Cloudflare


活跃时间
2026年3月4日 - 2026年3月22日（18天）


触发方式
概率性触发（非必然）


当前状态
C2 域名已无法访问，无持续恶意行为


优先级建议

根据风险等级，建议按以下顺序处理：

立即（今天）：升级客户端 + 阻断恶意域名
今天内：重置 SSH 密钥、Git 凭证、云服务 Access Key
24小时内：重置数据库密码、所有 API Token
本周内：全面审计异常访问日志，通知团队成员同步处理


联系方式

如有疑问或需要技术协助，请联系 Apifox 安全团队：
📧 security@apifox.com

参考来源：Apifox 官方安全公告（2026年3月25日）
文件路径	包含内容
`~/.ssh/`	SSH 私钥、公钥、known_hosts
`~/.zsh_history`	zsh 命令历史（可能含密码、token）
`~/.bash_history`	bash 命令历史（可能含密码、token）
`~/.git-credentials`	Git 凭证（用户名/密码/token）
环境变量	API Key、数据库密码、云服务 Access Key
项目	详情
攻击类型	供应链攻击（Supply Chain Attack）
攻击向量	外部 JavaScript 动态加载被篡改
C2 域名	`apifox.it.com`
C2 托管	Cloudflare
活跃时间	2026年3月4日 - 2026年3月22日（18天）
触发方式	概率性触发（非必然）
当前状态	C2 域名已无法访问，无持续恶意行为