#重大安全播报 国内知名 API 协作平台 Apifox 遭供应链投毒，如果你在 3 月 4 日～3 月 23 日打开过 Apifox，请立即轮换所有密钥。恶意载荷会窃取开发者 SSH 凭证、Git 令牌、k8s 凭证等等，Apifox 在 3 月 23 日发布新版本修复漏洞，但蓝点网并未在其网站看到任何安全公告。查看全文：https://ourl.co/112328

安全研究人员日前发现 Apifox 平台遭遇投毒，黑客通过平台安全缺陷向所有开发者投放包含恶意代码的 JS 文件，恶意代码会窃取各类配置信息和敏感数据。

如果开发者在 2026 年 3 月 4 日后打开过 Apifox 则需要立即轮换 SSH 密钥、Git 令牌、k8s 等各类凭证，同时需要检查服务器和相关集群是否存在异常登录情况。

情况如下：

@橙子酱 在日常工作中检测到 Apifox 文件存在被投毒情况，具体来说 Apifox 在启动时会加载用于事件记录的 JS 文件：hxxps://cdn [.] apifox [.] com/www/assets/js/apifox-app-event-tracking.min.js

正常情况下这个文件大小为 34KB，但在 2026 年 3 月 4 日后开发者可能会请求到带毒版本，带毒版本为 77KB，这个带毒 JS 文件还会动态加载：hxxps://apifox [.] it [.] com/public/apifox-event.js

在满足特定条件下可以加载攻击载荷并采集主机系统环境和敏感数据 (SSH 密钥、Git 凭证、命令行历史、进程列表等)，采集的信息会被上报到：hxxps://apifox [.] it [.] com/event/0/log

后续攻击者还会控制主机拉取执行后门程序，进而尝试发起横向攻击以控制更多有价值的目标。

it.com 域名：

在此次攻击中，黑客使用 it.com 的二级域名 hxxps://apifox.it.com 该域名并非意大利国别顶级域名，而是商业化运营的子域名服务。

即用户可以通过其运营方申请 xxx.it.com 这样的子域名，而在此次攻击中黑客使用的 apifox.it.com 就是注册的子域名，与 Apifox 没有任何关系。

这种域名具有极强的迷惑性，这可以降低开发者的戒心，如果黑客使用的域名是 sdfasdfdsf.ph 这种可能就比较容易引起开发者的警觉。

Apifox 修复安全问题后并未发布公告：

蓝点网检查 Apifox 更新日志发现，在 2026 年 3 月 23 日发布的 v2.8.19 版中，Apifox 移除在线加载 JS 文件，改成直接内置 JS 文件。

这次更新显然就是用于修复 JS 文件被投毒的，但遗憾的是我们仔细查找 Apifox 多个页面，也没有发现 Apifox 发布任何安全公告。

可能 Apifox 的想法就是只要悄悄修复漏洞并且不发布公告大家就不知道，这样可以避免名誉受损，但代价就是下游多种项目都遭受强烈的安全威胁。

如何检查自己是否中招：

比较简单的方式就是检查网络是否有 apifox.it.com 的请求记录，如果你的路由器或代理软件有连接记录，只需要搜索这个域名即可，如果能搜索到请求说明你已经中招。

Windows Powershell：

Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

macOS：

grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

如果以上命令输出具体文件则判定为中招。

详细技术分析请访问：https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/