文章总结： Apifox桌面客户端官方CDN脚本遭供应链投毒，攻击者在统计脚本中植入高度混淆恶意JS，利用Electron自动加载特性窃取凭据并实现远程命令执行。恶意代码采用RC4与RSA加密、随机定时器等对抗手段。建议立即吊销token、修改密码、封锁恶意域名并清理localStorage，文档提供了IoC指标。 综合评分： 87 文章分类： 供应链安全,漏洞分析,恶意软件,应急响应,漏洞预警

安全预警：Apifox 桌面客户端官方 CDN 脚本遭供应链投毒

原创

慢雾安全团队 慢雾安全团队

慢雾科技

2026年3月25日 22:10 中国香港

作者：Yao

编辑：77

**# 1. 背景

慢雾安全团队监测到一起供应链攻击，Apifox 官方 CDN 所托管的前端脚本文件(hxxps[:]//cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js)，被植入经重度混淆处理的恶意 JavaScript 代码。该恶意代码以合法的统计埋点功能为掩护，在 Apifox Electron 桌面客户端环境中运行时，将窃取用户认证凭据及系统敏感信息，并向攻击者控制的 C2 服务器发送，进而拉取并执行任意远程代码，实现完整的远程命令执行(RCE)。

2. 投毒入口分析**

# 攻击入口为 Apifox 官方 CDN 资源被篡改：

**# 正常资源：

hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

恶意版本（Web Archive 还原）：

hxxps://web.archive.org/web/20260305051418/hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

从样本对比看，恶意版本在原有正常统计逻辑基础上，嵌入了混淆恶意代码，用于实施信息窃取与远程控制。

2.1 恶意 JS 分析

恶意代码被注入至 Apifox 官方 CDN 脚本中，Apifox 桌面客户端（基于 Electron 框架）在启动或运行过程中自动加载该脚本，无需用户任何交互即可触发。

(hxxps://web.archive.org/web/20260305051418/hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js）

2.2 攻击流程**

**

#

2.3 周期性 C2 Beacon 与任务拉取机制

恶意代码内置随机定时器，在 Apifox 客户端运行期间周期性执行，持续窃取数据并拉取最新 Payload：

| | | | — | — | | 参数 | 值 | | 最短间隔（MIN_MS） | 30 分钟 | | 最长间隔（MAX_MS） | 3 小时 | | 执行方式 | 随机间隔，首次启动即触发 |

**

## 2.4 混淆与对抗检测手段

*** ## 使用 javascript-obfuscator 对恶意代码段进行高强度混淆

• 所有字符串通过 RC4 算法加密存储于大型字符串数组，运行时动态解密
• 所有关键数字常量（时间间隔、块大小等）均通过多步运算表达，规避静态扫描
• C2 通信全程 RSA 加密，内嵌 RSA 私钥（256 字节分块），防止流量分析
• 恶意代码段附于合法统计代码之后，利用白名单信任绕过安全检测

建议**

**# 建议受影响用户

1. 立即吊销历史 accessToken，并检查是否存在异常 API 调用记录。

2. 退出并重新登录 Apifox 账户，强制废止当前 Token。

3. 修改 Apifox 账户密码，并检查账户是否存在异常登录记录

4. 网络层封锁 ifox.it.co 及其所有子域名

5. 清除 Apifox 客户端的 localStorage，删除 _rl_headers 和 _rl_mc 键：

• 在 Apifox 客户端开发者工具控制台执行**

localStorage.removeItem('_rl_headers');localStorage.removeItem('_rl_mc');

# IoCs

Domain

ifox[.]it[.]co

*.ifox.it.co

URL

hxxp[:]//cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

hxxp[:]//cdn.apifox.com/www/assets/js/user-tracking.min.js

File

filename: apifox-app-event-tracking.min.js

SHA256: 91d48ee33a92acef02d8c8153d1de7e7fe8ffa0f3b6e5cebfcb80b3eeebc94f1

往期回顾

SlowMist Agent Security Skill 正式发布，守护 AI Agent 每一道防线

SlowMist × Bitget AI 安全报告：把钱交给“龙虾”等 AI Agent 真的安全吗？

活动回顾 | SlowMist KYT 新品亮相，重构合规基座

慢雾报告：合规压力下 VASP 的猫捉老鼠困境

倒计时 1 天｜慢雾(SlowMist) 链上合规新品发布会即将开启

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾 GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

知识星球

https://t.zsxq.com/Q3zNvvF

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：慢雾科技 慢雾安全团队 慢雾安全团队《安全预警：Apifox 桌面客户端官方 CDN 脚本遭供应链投毒》