Apifox 遭受供应链攻击

This topic created in 48 days ago, the information mentioned may be changed or developed.

近期有使用的快排查下吧

官方通告链接： https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig

近期我们排查发现，Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 Javascript 文件遭遇了恶意篡改（遭受供应链攻击）。

如果您在 [ 2026 年 3 月 4 日] 至 [ 2026 年 3 月 22 日] 期间使用了公网 SaaS 版 Apifox 桌面客户端，可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。

攻击者使用的 C2 恶意域名（ apifox[.]it.com ）当时托管在 Cloudflare ，存活 18 天（ 2026 年 3 月 4 日至 2026 年 3 月 22 日）。目前该域名已无法访问，没有持续发生恶意行为，我们当前无法复现现场。但是根据部分用户反馈和专业人员分析，被篡改的恶意脚本具有概率性触发的特征，触发时可能会读取用户本地设备上的高敏感文件（如 ~/.ssh/ 、~/.zsh_history 、~/.bash_history 、~/.git-credentials 等）。可能会上报到该恶意域名（ apifox[.]it.com ）。我们正在联合安全团队持续进行深度溯源。

供应链

攻击

安全

150 replies 2026-04-10 15:51:16 +08:00

1 2

javalaw2010

Mar 25

坏了，这影响大了去了

nicoljiang

PRO

Mar 25

特别严重的一个问题，他们在 23 号的时候选择完全不提示用户电脑中数据安全的风险。

slowgen

Mar 25 via Android

乐，建议结合 https://v2ex.com/t/1159283 一起看

eviladan0s

Mar 25

去混淆后的恶意代码链接： https://gist.github.com/phith0n/7020c55bf241b2f3ccf5254192bd48a5

shuangbiaog

Mar 25

有什么替代品吗，纯本地就行，最好不是 electron

supuwoerc

Mar 25

公司电脑要求重装&密钥全部替换/弃用...

Mar 26

@shuangbiaog curl 最好用/狗头

COW

Mar 26

看错了，我还以为 apisix 呢

OnlineParty

Mar 26

apifox 你吗 x x 我 x x x ,x x 公司

phithon

Mar 26

写了个分析文章，可以参考一下：<https://www.leavesongs.com/PENETRATION/apifox-supply-chain-attack-analysis.html>

aminobody

Mar 26

我好奇是怎么做到投毒到官方域名的 cdn 上的呢？

artieo

Mar 26

受害者来了 https://imgur.com/a/QyLi0ex

![null](

)

version

Mar 26

Apifox 在目前 ai 能力下.不太看好这个产品...桌面应用本身占用内存大..之前几次崩溃直接本地客户端无法使用
现在我都是 ai 生成 openapi.json 把入参出参 ai 生成全部定义 + scalar 本地部署服务访问.体验拉满

caqiko

Mar 26

@aminobody 不是官方域名，是一个仿冒的 subdomain
我更好奇为什么会加载一个未知 URL 的 js 。。

marsKnight

Mar 26

我是 3 月 3 日给新电脑下载的哈哈哈哈我这算逃过一劫吗

tyrad

Mar 26

很危险居然出这种问题

StephenHe

Mar 26

还好我用 apipost

fstab

Mar 26

我也是觉得 postman 优点臃肿，然后换过 apifox 和 apipost ，这两个都需要登录优点麻烦，我又看了下论坛有一个开发者发的 Reqable ，感觉还可以，比较轻量，可千万别出问题啊。不然还得回 postman 。

songray

Mar 26

在 apifox localStorage 文件夹下全部的二进制文件里搜索字符串 rl_mc 或 rl_headers MAC 位置 /Library/Application Support/apifox/Local Storage/leveldb WINDOWS 位置 %APPDATA%\apifox\Local Storage\leveldb\ 如果存在说明曾经被成功攻击过可以精确判断是否中招

ipeony

Mar 26

只是测试 API 的推荐下 Yaak, 主要看重支持 git 同步数据

burnsby

Mar 26

@version 确实，甚至都不需要 scalar ，直接导出 md, 然后生成各种客户端代码

crysislinux

Mar 26

供应链攻击难防吧，我们也中过一回。。

Duolingo

Mar 26 via Android

确定中招了，我的 github 里在我睡眠时间多了一堆 security log

duck2

Mar 26

有新的 cve 号吗？转发下内部群

capric

Mar 26

@shuangbiaog vscode plugin "REST Client"

liu731

PRO

Mar 26

草，直接卸载。搞的什么垃圾软件～

shansing

Mar 26

补充一下 #19 的 Linux 的检测命令和目录：
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb

suyuyu

Mar 26

还好我挺厌烦 electron 的

miku999

Mar 26

那得拿出这张图了

m1nm13

Mar 26

@songray 只搜出 rl_headers ,从 https://github.com/settings/security-log 来看没有中招, 起码目前没有

euronx

Mar 26

我没看懂，为啥会加载一个第三方的 js 文件

hengshenyu

Mar 26 via Android

目前 windows 版本是不是只有 ssh 相关的泄露？其他密码还好？

eviladan0s

Mar 26 via iPhone

@duck2 这个不是漏洞，没有 CVE 号，可以直接转官方通告

liuliuliuliu

PRO

Mar 26

@Duolingo security log 是在哪里看的？

940i3s34v4F1HW41

PRO

Mar 26 via iPhone

修复了吗

body007

Mar 26

还好我用的 web 版加浏览器插件，没有运行桌面版。浏览器刷新一下就是最新版本了。

Duolingo

Mar 26

@liuliuliuliu 用户设置里有个 security log

Javin

Mar 26

好久都没用了，逃过了一劫，赶紧卸载，感觉 Ai 时代这种事情越来越多。。。

aminobody

Mar 26

@caqiko #14 你理解错了，官方的 cdn [.] apifox [.] com 被投毒了，你说这个只是 c2 服务器的地址。

yustation

Mar 26

.gemini/.antigravity/.codex 有风险吗

frantic

Mar 26

"Apifox 公网 SaaS 版桌面客户端" 听起来是给企业版的，但他们家只有桌面客户端和网页端; 所以就是只要你在期间用过 Apifox 客户端的就会中招

Binwalker

Mar 26

不如用 bruno

hugozach

Mar 26

去年看 apifox 客户端内存使用就不对劲我直接使用网页版不愧是我

subframe75361

Mar 26 via Android

详细信息： https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/

northess

Mar 26

@shuangbiaog 纯本地那必须 bruno 啊，纯文件管理，配合 git 做团队共享。只不过是阿三开发的...

azhu1990

Mar 26

@miku999 全栈 AI 审核员开始暴露出问题了

sjdhome

Mar 26

还好我只用 curl 测试 API

EeveeRibbon

Mar 26

中招了，但是我的 SSH 私钥都用的是密码管理器管理，逃过一劫，真是万幸

CuteGirl

Mar 26

@northess 同用 bruno 不过最近换到了 posting 一个终端 TUI 的 API 客户端做测试用野蛮有意思的

draguo

Mar 26

这种工具确实越来越没用了，都用 ai 开发，这玩意不方便

chandlerbing9317

Mar 26

已经中招

ffann

Mar 26

@songray findstr /s /i /r "rl_mc rl_headers" *.*
000186.ldb:_rl_headersl
这样看起来中招了

zouri

Mar 26

@miku999 挺好，q1 还没完，立竿见影

beiyanpiki

Mar 26

@miku999 出问题了知道痛了

fingerxie

Mar 26

我了个去？我还用的 1password 维护账密、信用卡信息，不会也因此被泄露了吧？这影响太大了

ronyin

Mar 26

去年就有人提醒过，这就是个广州的公司。。存在漏洞，使用起来也不方便，还收费。。

imnpc

Mar 26

@chandlerbing9317 #51 请问下这个是用什么方法检测的

stinkytofux

Mar 26

@fingerxie 问题不大, 只要你不是用明文文件保存的就没事. 1password bitwarden 这类密码管理器的存储文件都是加密的, 没有主密码解不开.

MX123

Mar 26

今天刚装上 Hoppscotch ，小龙虾推荐的

EeveeRibbon

Mar 26

@fingerxie #55 密码管理器是读不到的，不会受影响，还好我用了密码管理器，要不然现在换密钥要累死我了

chandlerbing9317

Mar 26

@imnpc claude code ，把检测方法截图给他，让他帮我查的，以及这个链接： https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/

YIson

Mar 26

mac 好像默认没有给用户主目录权限，用 mac 的应该好点

AllanAG

Mar 26

@shuangbiaog 可以试试这个 https://github.com/mountain-loop/yaak ，Tauri 和 Rust 开发的

ruanimal

Mar 26

@ipeony ui 不好用，接口多了找不着

momo1999

Mar 26

不懂，cdn 是怎么投毒的

deplives

Mar 26

这玩意儿还有一个问题是 macOS 下只要打开 app ，这玩意儿会写一个 pmset 的电源管理阻止电脑休眠，不要问我咋发现的，公司电脑只要打开这个 app 就没法休眠一开始排查了各种问题，直到最后才发现只要打开这个 app pmset 就能发现被写入一条禁止息屏和禁止休眠的策略，离谱到家

cutecore

Mar 26

这个，“公网 SaaS 版“ 桌面客户端什么意思

samli12

Mar 26

司马公司

ZeroDu

Mar 26

windows 上该怎么搜索

guguji5

Mar 26

用了 4 年了，没看懂这是什么问题

YIsion

Mar 26

@cutecore 只要不是私有化部署或者网页端就是被攻击了

chandlerbing9317

Mar 26

@YIsion #62 怎么确定的，我现在就是 mac 中招，不知道影响哪些内容

ZhaokunZhang

Mar 26

@guguji5 加载了一个非官方 CDN 的 js 文件，这个文件能获取本地的密钥，比如 github ，ssh key ，再获取你之前在终端敲的历史命令，然后传出去。基本上就是说，如果你的设备被攻击了，你得换密码了，还好我不用 apifox 就走本地 curl

dif

Mar 26

两年前就放弃了- -。

YIsion

Mar 26

@chandlerbing9317 #72 如果只是上传 ssh 配置和 bash 命令的话。macos 默认不允许 APP 访问 ~/ 目录。只要没授权泄漏的应该是只有 apiFox 的用户信息，怕得就是恶意文件直接通过漏洞恶意越权。如果电脑一直是最新系统，问题应该还好

twofox

Mar 26

在 leveldb 文件夹下搜索执行 powershell Get-ChildItem -Recurse -File | ForEach-Object { if (Select-String -Path $_.FullName -Pattern "rl_mc|rl_headers" -Quiet) { $_.FullName } }

frantic

Mar 26

@cutecore 很误导人吧。我开始看到 saas 版以为是企业版，没想到就是客户端（无论个人还是企业，除非你是企业私有部署的那种）。

jjwjiang

Mar 26

@aminobody 基本上就是发布链或者 CDN 权限泄露了吧，搞不好真有 prompt 被投毒了泄露出去了

HappyAndSmile

Mar 26

幸好我从来没用过，只用 postman ，虽然一般般，胜在习惯了

w568w

Mar 26

搞笑的是官方发的道歉通告也是一股 AI 生成味：

「（已完成）」「（极其重要）」

全司上下怕是找不出几个还会手敲文字的了。

ShinKu

Mar 26

Select-String -Path "$env:USERPROFILE\AppData\Roaming\Apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

MegatronKing

Mar 26 via Android

@shuangbiaog 非 electron 的只有 Reqable 了，https://reqable.com/

qwer1234zh

Mar 26

hoppscotch

CoderLife

Mar 26

我用: Hoppscotch

czy0612

Mar 26

Windows 执行
findstr /S /I “apifox.it.com” “%APPDATA%\Apifox*.*”
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

MAC 执行
grep "apifox.it.com" "$HOME/Library/Application Support/apifox/Network Persistent State"
grep -arlE "rl_mc|rl_headers" "$HOME/Library/Application Support/apifox/Local Storage/leveldb"

lisongeee

Mar 26

确定不是内鬼干的吗？

cdn[.]apifox[.]com 里代码是他们实控的代码，里面的 js 会连接 apifox[.]it.com

说明这个 apifox[.]it.com 域名也是他们内部人员加上去的，感觉和供应链攻击没关系

BenX

Mar 26

这货第一天装上就删了，不靠谱。

deepshe

Mar 26

我查到最后一次使用 apifox 是 2026 年 1 月 14 日，但是也中招了 leveldb 文件夹里能查到 rl_headers ，这个软件是不是会后台启动啊

a9htdkbv

Mar 26

躲过一劫，前几个月刚好重装系统没装 apifox 。现在我内网 dns 服务器已直接屏蔽*.it.com 这个域名，it.com 这个域名好像很多黑灰产、C2C 都在用来着（

a33291

Mar 26

@deepshe 他的确有一个叫什么 *agent 的服务,我一般会主动删掉或者禁用

Height

Mar 26 via iPhone

极力 reqable ，flutter 写的，功能全，体积小，性能好，内存占用小，自从用了它，insomnia 就弃用了

deepshe

Mar 26

@a33291 好吧，太坑了，不过搜了下 dns 的解析记录没有 it.com 的解析，不知道是不是躲过一劫

star7th

Mar 26

借楼推荐一个同类工具

https://www.runapi.com.cn/

silence01

Mar 26 via iPhone

@StephenHe 我看错了♂

wenning

Mar 26

@twofox 我用这个输出了一个日志文件, 也是中招了吗

id7368

PRO

Mar 26

@wenning 只要能输出内容，那就是中招了，比如 .log 文件

Ketteiron

Mar 26

@lisongeee #86
官方通告和楼上某篇博客都用词不当，这根本不是供应链攻击，所谓的供应链攻击是任意信任环节出问题，apifox[.]it.com 很明显不是信任链中的任意一环。
提起供应链攻击，很大程度是为了甩锅，毕竟信任方出问题是不可控的。
现在很明显要么是内鬼，要么是他们自己的服务器中招了，apifox 不会把全部运维都裁掉了吧？

eviladan0s

Mar 26 via iPhone

@Ketteiron 这类投毒攻击一般都归类于供应链安全

hahawode

Mar 26

@capric 用了多年确实不错。问一下 REST Client 怎么发文件呢？

100

seedhk

Mar 26

@artieo 火绒还是有点用的，我用的 mac ，没装任何防护软件，这次中招了，还好 ssh 目录里没存任何密钥

1 2