2026-03-31 11:54:59 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档披露国内流行API协作平台Apifox遭遇供应链投毒攻击，攻击者篡改CDN托管的JS文件植入恶意代码，3月4日后启动应用即可能失陷，收集主机敏感信息包括SSH密钥、历史命令等并执行后续载荷。受影响版本为2.8.19以下，Windows、Linux及macOS均受影响。建议立即升级至2.8.19及以上版本，更换所有密钥、密码、Token，封禁IOC域名apifox.it.com等，审查登录日志排查异常SSH访问。 综合评分： 88 文章分类： 供应链安全,漏洞预警,应急响应,威胁情报,漏洞分析

cover_image

大规模失陷！Apifox遭投毒，请立即排查

微步情报局微步情报局

微步在线研究响应中心

2026年3月26日 12:20 北京

近日国内流行的API协作平台Apifox发布公告，称遭遇供应链投毒。微步情报局研判发现，3月4日后，一旦请求域名apifox.it.com即已失陷，建议用户立即排查和做好应急处置，同时升级至最新版本，Windows、Linux以及macOS均受影响。（排查方法和处置建议详见后文）

图：Apifox官方公告

公告显示，Apifox CDN服务所托管的前端脚本文件被植入恶意代码，3月4日后启动应用有概率触发，收集主机敏感信息并下载、执行后续载荷。目前，apifox.it.com已无法访问，共持续18天。

事件分析

2026年3月25日8点36分，在2libra论坛上有用户爆出知名API协作研发平台Apifox存在投毒攻击：

微步情报局分析投毒js文件可以看到远控IOC：apifox.it.com，其余四个IOC尚未在攻击者代码中看到，但建议封禁。

Apifox基于Electron框架开发，如果在不开始沙盒（Sandbox）且通过网络加载JavaScript资源，一旦发生劫持或投毒，攻击者的恶意脚本可直接在主机环境下运行，执行命令，窃取本地文件。

旧版（SaaS版2.8.19以前）Apifox应用启动后会从官方地址获取js资源（目前请求资源正常）：

通过Wayback Machine可以搜索到该js资源在3月5号的存档：

从该存档文件可以看到，攻击者在原本js文件末尾增加了一段高度混淆的代码：

而该恶意代码首先会加载node.js的crypto，os模块

通过该模块读取设备信息：网络接口/MAC、CPU、平台、主机名、用户名等。然后尝试读取本地的common.currentUserId获取使用用户的信息，如果不存在则通过读取common.accessToken 调Apifox的官方接口补充身份信息，攻击者使用该信息作为上传窃密信息的用户标记字段af_apifox_user，af_apifox_name：

收集完成信息后，恶意脚本会调用本地硬编码的PEM 私钥对信息加密上传：

上传地址被混淆加密：

解密后地址为：https://apifox.it.com/public/apifox-event.js，并对请求响应使用硬编码的PEM私钥解密执行：

整个过程会通过scheduleNext在30分钟到3个小时之间随机间隔不断触发：

解密加载的第二阶段载荷会进一步收集窃密主机信息：

包括不限于：history文件，ssh私钥，known_hosts文件

受影响排查

Apifox官方指出在2.8.19以及更高版本，本地客户端不再通过在线加载js资源，而内置打包：

OneSEC用户可查询历史日志中是否存在IOC域名反连来确定失陷范围：

建议同时根据安装Apifox的版本来确定要升级范围，对于低于2.8.19版本的机器进行及时升级。这些低版本机器未出现ioc反连，也建议做各类密码、token和key的轮换或者重置：

用户也可以通过禁止对apifox.it.com的访问进行临时阻断。

处置建议

根据Apifox官方对该投毒事件的公告：关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 – Apifox 帮助文档。

链接：https://docs.apifox.com/8392582m0

微步情报局强烈建议，用户立即升级Apifox到2.8.19版本及以上，同时更换SSH密钥，GitHub、GitLab密码/Token，修改命令行历史中暴露的所有密码、Token 和 API Key，审查服务器登录日志，检查是否有异常 SSH 。

IOC

apifox.it.com

以下IOC暂未标记情报，由事件预警者Path@2Libra提供。尚未在攻击代码中找到相关域名，域名高度可疑，严谨起见可以封禁

cdn.openroute.dev

upgrade.feishu.it.com

system.toshinkyo.or.jp

ns.feishu.it.com

Reference

【漏洞预警】关于 apifox 被投毒的风险提示 – 2Libra

https://2libra.com/post/network-security/8HvXoR_

关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 – Apifox 帮助文档

https://docs.apifox.com/8392582m0

Apifox 供应链投毒攻击 — 完整技术分析 – 白帽酱の博客

https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/

-END-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心微步情报局微步情报局《大规模失陷！Apifox遭投毒，请立即排查》