文章总结： 文档介绍ApifoxSaaS版桌面客户端在2026年3月4日至22日期间遭遇供应链攻击，恶意脚本通过动态加载的JS文件窃取SSH密钥、shell历史等敏感数据。作者提供开源应急响应工具，支持自动扫描系统痕迹、轮换凭证、清理历史记录等9大模块，适用于macOS/Linux平台，需通过公众号获取下载链接。 综合评分： 85 文章分类： 供应链安全,应急响应,安全工具,漏洞预警,数据安全

Apifox 供应链攻击应急响应工具

myxiaoao myxiaoao

夜组安全

2026年3月27日 08:01 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

背景

2026 年 3 月 25 日，Apifox 官方确认其公网 SaaS 版桌面客户端遭受供应链攻击。客户端动态加载的一个外部 JavaScript 文件被恶意篡改。

• 风险时间窗口： 2026 年 3 月 4 日 至 2026 年 3 月 22 日
• 受影响范围： 仅公网 SaaS 版桌面客户端（Web 版和私有化部署版不受影响）
• C2 恶意域名：apifox.it.com（托管在 Cloudflare，存活 18 天，目前已下线）
• 可能泄露的数据：~/.ssh/、~/.zsh_history、~/.bash_history、~/.git-credentials
• 修复版本： 2.8.19+

快速开始

curl -fsSL https://raw.githubusercontent.com/myxiaoao/apifox-incident-fix/master/dist/fix.sh -o fix.sh
chmod +x fix.sh
./fix.sh

功能说明

本工具自动扫描系统状态，引导你完成凭证轮换：

| 模块 | 功能 | | — | — | | 0 – 取证确认 | 检查 LevelDB 恶意标记、验证 Apifox 版本、在 /etc/hosts 中屏蔽 C2 域名 | | 1 – 终止进程 | 终止运行中的 Apifox 进程 | | 2 – SSH 密钥 | 扫描、备份、轮换 SSH 私钥，并提示对应平台 | | 3 – Shell History | 清理 zsh/bash/fish 历史记录中的敏感 token | | 4 – GitHub Token | 轮换 GitHub CLI 认证 | | 5 – K8s 凭证 | 备份 kubeconfig 以便重新颁发 | | 6 – Docker 凭证 | 登出所有已配置的 Docker Registry | | 7 – macOS 钥匙串 | 检查与 apifox 相关的钥匙串条目（仅 macOS） | | 8 – .env 扫描 | 在常见开发目录中查找 .env、.key、.pem 文件 | | 9 – 审计 | 引导检查异常活动（GitHub 安全日志、git 历史、K8s 事件） |

重要提示： 对凭证文件（SSH 密钥、history 等），操作前始终会先创建备份。此外，工具还可能终止 Apifox 进程、向 /etc/hosts 添加屏蔽条目（需要 sudo）、以及重写 shell history 文件（备份后）。建议先用 --dry-run 预览所有变更再执行。

支持平台

• macOS (Intel / Apple Silicon)
• Linux (Debian/Ubuntu, RHEL/CentOS, Arch)

命令行参数

| 参数 | 说明 | | — | — | | --lang en|cn | 强制指定语言（默认：根据系统 locale 自动检测） | | --scan-dirs DIR | 额外的 .env 扫描目录（逗号分隔） | | --extra-patterns P | 额外的 history 敏感词模式 | | --dry-run | 仅展示将执行的操作，不实际修改 | | --yes | 跳过所有确认（用于自动化） | | --modules 1,2,4 | 仅执行指定模块 | | --no-color | 禁用彩色输出 | | --help | 显示帮助信息 |

运行后的手动操作

工具结束时会打印个性化的待办清单。常见手动操作包括：

• 将新 SSH 公钥添加到 GitHub / GitLab / 其他平台
• 撤销可疑的 GitHub Personal Access Token
• 重新生成 ngrok authtoken 等已泄露的 token
• 联系集群管理员重新颁发 kubeconfig
• 修改 Docker Hub / Harbor 密码并重新登录
• 检查 macOS 钥匙串条目
• 通知团队相关人员

工作原理

1. 系统扫描 — 检测平台（macOS/Linux）、已安装工具、现有凭证、Apifox 痕迹
2. 诊断报告 — 展示扫描结果，标记哪些模块适用
3. 模块选择 — 执行所有适用模块，或选择特定模块
4. 引导执行 — 每个模块在执行前询问确认
5. 总结 — 输出剩余手动操作和日志文件路径

工具获取

点击关注下方名片进入公众号

回复关键字【260327】获取下载链接

往期精彩

[阿里云 AVD、长亭漏洞库、OSCS、奇安信 |多源实时漏洞监控和推送

2026-03-26

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496564&idx=1&sn=8ac779ff3b59801e3cf598821cdc4af0&scene=21#wechatredirect)[一个综合性的Web安全学习平台 | 涵盖16大类Web安全漏洞，共80+个实战场景

2026-03-25

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496552&idx=1&sn=66c6fe8d1c0b4c96e01579bee35faae8&scene=21#wechatredirect)[网站老被攻击？别慌，这个免费“保镖”我用了都说好

2026-03-24

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496551&idx=1&sn=bbeaff114e49f9c4cfbf3a8912e95d6c&scene=21#wechatredirect)[BeforeDawn 漏洞管理平台 | 致敬每一个在黎明前守夜的安全人员

2026-03-23

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496531&idx=1&sn=7cfaf72f34988de5d0be92164d912d7e&scene=21#wechatredirect)[云安全渗透测试框架 – 支持国际主流云厂商和国内云平台

2026-03-20

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496525&idx=1&sn=ee423b4b6dfc387f91a8a2f8b971d8db&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 myxiaoao myxiaoao《Apifox 供应链攻击应急响应工具》