一、事件概述
Apifox是被广大开发者用于API开发、测试、联调的一款工具,它集API文档管理、API调试、API数据Mock、API自动化测试于一体。其桌面客户端基于Electron框架开发,支持Windows/macOS/Linux三端。近期,Apifox遭遇供应链投毒攻击,攻击者篡改了Apifox官方CDN上的动态JS文件,在大量开发者电脑上植入隐蔽后门,最终可实现凭证窃取和远程命令执行等恶意功能。此次攻击影响公网SaaS版桌面客户端(Electron 框架),Web版和私有化部署版不受影响。
二、事件时间线
2026年3月4日,恶意代码开始出现在官方CDN上托管的JS文件中。
3月22日左右,攻击者使用的C2恶意域名(apifox.it[.]com)C2域名下线,存活18天。
3月25日,多名安全研究人员发布此次攻击事件的技术分析,当天Apifox发布正式安全公告。
三、攻击分析
官方CDN上被篡改的JS文件为“hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js”,原有代码是Apifox用于事件追踪的SDK,在Apifox启动过程中加载,正常大小为34KB。但在3月4日之后请求到的文件体积膨胀至77KB,其中添加了恶意代码,使得投毒后的JS文件动态加载“hxxps://apifox[.]it[.]com/public/apifox-event.js”。
其中apifox[.]it[.]com为攻击者模仿官方域名使用的恶意域名。由于Apifox桌面客户端基于Electron开发,未严格启用sandbox参数,且暴露了Node.js API(fs、child_process、os、crypto等),导致渲染进程可直接访问本地文件系统和执行系统命令。
四、影响范围与风险
此次攻击事件受影响用户为2026年3月4日—3月22日期间使用Apifox公网SaaS版桌面客户端(版本低于2.8.19)的用户,Windows/macOS/Linux三个平台均受影响。
恶意代码窃密目标涉及SSH私钥、Git凭证、云Access Key、K8s Token等重要敏感信息,可能造成企业高价值资产泄露,引发代码仓库劫持、生产环境入侵甚至二次供应链攻击。
五、防护与处置措施
Appfix官方已发布2.8.19修复版本,在该版本及后续更新中,彻底废除在线动态加载,改为本地内置打包。官方内部已重置所有服务器相关的安全凭证。
(1)尽快将Apifox客户端升级至2.8.19或更高版本。
(2)如果在3月4日之后使用过受影响版本,全面排查并重置在设备里的存储过的敏感凭证(包括但不限于Git密钥、鉴权密钥、数据库密码、云服务AccessKey及环境变量等)。
(3)在网络层面封禁apifox.it.com及其所有子域名。
如发生相关网络安全事件,各单位第一时间联系信息化工作办公室安全中心(联系电话:67885015),并采取有效措施将负面影响降到最低。
注:来源于教育系统网络安全管控平台。
