Apifox桌面端被曝遭供应链投毒：CDN 脚本被篡改，窃取 SSH 密钥与 Git 凭证

技术  /  管理员 发布于 1小时前   5

Apifox 桌面端被曝遭供应链投毒攻击, 近期有安装更新的请自行检查!
攻击者篡改了其 CDN 上的事件统计脚本，注入恶意代码，采集受害主机的 SSH 密钥、Git 凭证、Shell 历史记录及进程列表等敏感信息，并可进一步植入后门、发起横向攻击。

该攻击自 3 月 4 日起活跃，Windows、macOS、Linux 三平台用户均受影响。
知名安全研究者 phith0n 已独立还原恶意载荷并公开分析代码，多名用户在本地 Apifox 数据中发现了恶意域名的通信痕迹。
目前入口文件已被还原，官方暂无正式声明，最新版本不再请求该恶意域名。
官方说明 - 关于Apifox外部JS文件受篡改的风险提示与升级公告: https://docs.apifox.com/8392582m0


排查方式与缓解措施：
检查本地 Apifox 数据目录下的 Network Persistent State 文件是否含有 apifox.it.com，
或在 LevelDB 中查找 rl_mc、rl_headers 键值。

Windows路径：

%APPDATA%\Roaming\apifox\Network\Network Persistent State

ps: 比如我就中招了

Windows Scoop安装：
$scoop_root\apps\apifox\current\UserData\Network\Network Persistent State

macOS路径：
~/Library/Application Support/Apifox/Local Storage/leveldb

最后
建议通过防火墙或 DNS 封禁 apifox.it.com、cdn.openroute.dev、upgrade.feishu.it.com 等可疑域名，并重新安装最新版 Apifox。