Apifox 桌面端遭供应链投毒:CDN 脚本被篡改,窃取 SSH 密钥与 Git 凭证
Apifox 桌面端被曝遭供应链投毒攻击。攻击者篡改了其 CDN 上的事件统计脚本,注入恶意代码,采集受害主机的 SSH 密钥、Git 凭证、Shell 历史记录及进程列表等敏感信息,并可进一步植入后门、发起横向攻击。
该攻击自 3 月 4 日起活跃,Windows、macOS、Linux 三平台用户均受影响。知名安全研究者 phith0n 已独立还原恶意载荷并公开分析代码,多名用户在本地 Apifox 数据中发现了恶意域名的通信痕迹。目前入口文件已被还原,官方暂无正式声明,最新版本不再请求该恶意域名。
排查方式与缓解措施:检查本地 Apifox 数据目录下的 Network Persistent State 文件是否含有 apifox.it.com,或在 LevelDB 中查找 rl_mc、rl_headers 键值。
Windows 路径:% APPDATA%\apifox\Network\Network Persistent State
Windows Scoop 安装:$scoop_root\apps\apifox\current\UserData\Network\Network Persistent State
macOS 路径:~/Library/Application Support/Apifox/Local Storage/leveldb
建议通过防火墙或 DNS 封禁 apifox.it.com、cdn.openroute.dev、upgrade.feishu.it.com 等可疑域名,并重新安装最新版 Apifox。