情况概述

近期监测到Apifox桌面客户端软件遭遇供应链投毒攻击

（Windows/macOS/Linux全平台均受影响），其动态加载的外部JavaScript文件被恶意篡改。在2026年3月4 日至3月22 日期间，使用过Apifox桌面客户端的设备，均存在敏感信息泄露、主机被控制及被利用横向攻击风险。

风险详情

1.产品与框架：Apifox为API一体化协作平台，桌面端基于Electron框架开发，支持Windows、macOS、Linux。

2.漏洞成因：攻击者控制Apifox基础设施，投放恶意JS文件。Apifox客户端未严格启用sandbox沙箱参数，且暴露Node.jsAPI接口，导致可通过JS控制用户终端。

3.攻击特征：恶意C2域名apifox.it.com（托管于

Cloudflare，攻击窗口期18天），已探明恶意行为包含本地高敏感文件窃取。

风险危害

1.窃取主机敏感信息：SSH密钥、Git凭证、Shell命令历

史、known_hosts已知服务器列表、系统进程、磁盘内文件名列表等；

2.执行后门程序，获取主机控制权；

3.以受控主机为跳板，发起内网横向渗透攻击。

影响范围

在2026年3月4 日至3月22 日期间，使用过Apifox桌面客户端的全部用户，覆盖Windows/macOS/Linux全平台。

Web版本、私有化部署版本本次不受影响。

排查方法

Windows用户可在PowerShell中执行：Select-String-Path"$env:APPDATA\apifox\LocalStorage\leveldb\*" -Pattern

"rl_mc","rl_headers" -List| Select-Object Path

macOS用户可在命令行中执行：grep-arlE"rl_mc|rl_headers"~/Library/Application\Support/apifox/Local\Storage/leveldb

如果以上命令输出具体文件，则可判定为已被成功攻击。请注意，由于被检查的文件为缓存文件，存在假阴性可能，如果您在本次攻击暴露窗口的19天内曾使用过Apifox桌面客户端，有极大概率已遭到攻击。

修复建议

1.立即升级客户端：尽快更新至Apifox2.8.21及以上最新