近期监测到 Apifox 桌面客户端软件遭遇供应链投毒攻击（Windows/macOS/Linux 全平台均受影响），其动态加载的外部JavaScript文件被恶意篡改。在 2026 年3月4日至3月22日（共19天）期间，使用过 Apifox 桌面客户端的设备，均存在敏感信息泄露、主机被控制及被利用横向攻击风险。

如在上述时间段内使用过 Apifox 桌面客户端，请立即排查并做好防护。

风险详情

1.产品与框架：Apifox 为 API 一体化协作平台，桌面端基于 Electron 框架开发，支持 Windows、macOS、Linux;

2.漏洞成因：攻击者控制 Apifox 基础设施，投放恶意 JS 文件。Apifox 客户端未严格启用 sandbox 沙箱参数，且暴露 Node.js API接 口，导致可通过 JS 控制用户终端;

3.攻击特征：恶意 C2 域名 apifox.it.com（托管于Cloudflare，攻击窗口期 18 天）， 已探明恶意行为包含本地高敏感文件窃取。

风险危害

1.窃取主机敏感信息：SSH 密钥、Git 凭证、Shell 命令历史、known_hosts 已知服务器列表、系统进程、磁盘内文件名列表等；

2.执行后门程序，获取主机控制权；

3.以受控主机为跳板，发起内网横向渗透攻击。

影响范围

在 2026 年 3 月 4 日至 3 月 22 日期间，使用过 Apifox 桌面客户端的全部用户，覆盖 Windows/macOS/Linux 全平台。

Web 版本、私有化部署版本本次不受影响。

排查方法

Windows 用户可在 PowerShell 中执行：Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

macOS 用户可在命令行中执行：grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

如果以上命令输出具体文件，则可判定为已被成功攻击。请注意，由于被检查的文件为缓存文件，存在假阴性可能，如果相关人员在本次攻击暴露窗口的19天内曾使用过 Apifox 桌面客户端，有极大概率已遭到攻击。

修复建议

1.立即升级客户端：尽快更新至 Apifox 2.8.21及以上最新版本;

2.如果在 3 月 4 日之后使用过受影响版本，全面排查并重置在设备里的存储过的敏感凭证（包括但不限于 Git 密钥、鉴权密钥、数据库密码、云服务 AccessKey 及环境变量等）;

3.全盘病毒查杀：请使用正版杀毒软件对电脑进行全盘查杀（如登录正版软件管理与服务平台(郑州轻工业大学)，“首页→软件下载→360安全管理终端”）,如受攻击时已安装杀毒软件，请清空杀软信任区/白名单后进行查杀;

4.本地电脑阻断恶意域名：修改系统 hosts 文件，添加一行127.0.0.1 apifox.it.com；

5.网络层封禁恶意域名：禁止解析 apifox.it.com 来阻断访问；

6.安全核查：对相关设备进行日志审计、进程查杀与恶意文件排查，避免后门残留。

信息化管理中心

2026年4月1日