一、事件概述

Apifox 是一款集 API 文档管理、调试、Mock 数据及自动化测试于一体的开发工具，被广大开发者用于 API 全流程开发与联调。其桌面客户端基于 Electron 框架开发，支持 Windows、macOS、Linux 三大平台。

近期，Apifox 遭遇供应链投毒攻击。攻击者篡改了官方 CDN 上的动态 JavaScript 文件，在大量开发者的客户端中植入隐蔽后门，最终可实现凭证窃取与远程命令执行等恶意行为。本次攻击仅影响公网 SaaS 版的桌面客户端（Electron 框架），Web 版与私有化部署版本不受影响。

二、事件时间线

2026年3月4日，恶意代码开始出现在官方CDN上托管的JS文件中。

3月22日左右，攻击者使用的C2恶意域名（apifox.it.com）C2域名下线，存活18天。

3月25日，多名安全研究人员发布此次攻击事件的技术分析，当天Apifox发布正式安全公告。

三、攻击分析

官方CDN上被篡改的JS文件为“hxxps://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js”，原有代码是Apifox用于事件追踪的SDK，在Apifox启动过程中加载，正常大小为34KB。但在3月4日之后请求到的文件体积膨胀至77KB，其中添加了恶意代码，使得投毒后的JS文件动态加载“hxxps://apifox.it.com/public/apifox-event.js”。

其中apifox.it.com为攻击者模仿官方域名使用的恶意域名。由于Apifox桌面客户端基于Electron开发，未严格启用sandbox参数，且暴露了Node.js API（fs、child_process、os、crypto等），导致渲染进程可直接访问本地文件系统和执行系统命令。

四、影响范围与风险

此次攻击事件受影响用户为2026年3月4日—3月22日期间使用Apifox公网SaaS版桌面客户端（版本低于2.8.19）的用户，Windows/macOS/Linux三个平台均受影响。

恶意代码窃密目标涉及SSH私钥、Git凭证、云Access Key、K8s Token等重要敏感信息，可能造成企业高价值资产泄露，引发代码仓库劫持、生产环境入侵甚至二次供应链攻击。

五、防护与处置措施

Apifox 官方已发布 2.8.19 修复版本，该版本及后续更新彻底废除了在线动态加载机制，改为本地内置打包。同时，官方已重置所有服务器相关安全凭证。

建议用户立即采取以下措施：

（1）升级客户端。尽快将 Apifox 客户端升级至 2.8.19 或更高版本。

（2）重置敏感凭证。若在3月4日之后使用过受影响版本，请全面排查并重置设备中存储过的所有敏感凭证（包括但不限于 Git 密钥、鉴权密钥、数据库密码、云服务 AccessKey、环境变量等）。

（3）事件上报。如发生相关网络安全事件，请第一时间报告信息化管理处，并采取有效措施将影响降至最低。

特此通报。

联系人及电话：赵老师 82312022-810

信息化管理处

2026年3月31日