Apifox 供应链投毒攻击 2026.3.25
- 内容介绍
- 文章标签
- 相关推荐
Apifox 供应链投毒攻击 — 完整技术分析
Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客
刚看到的,分享一下!
近日,工作中监测到 Apifox 文件存在被投毒情况。
Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用
sandbox参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。Apifox 在启动过程中会加载:
hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js该文件正常大小为 34KB,但在 3 月 4 日之后可能会请求到被投毒的版本(77KB)。被投毒的 JS 文件会动态加载
hxxps://apifox[.]it[.]com/public/apifox-event.js(该域名非官方域名),在满足特定条件下加载攻击载荷,采集主机系统环境和敏感信息(SSH 密钥、Git 凭证、命令行历史、进程列表),上报到hxxps://apifox[.]it[.]com/event/0/log。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。目前入口文件已被还原,仅在 Wayback Machine 存档中可见投毒版本。
来自博客评论区,速查指令
- Windows 下执行
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path - macOS 下执行
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
检查下列文件是否包含 apifox.it.com ,这个文件是 Chromium(及基于它的 Electron 应用,如 Apifox)内置的网络堆栈状态记录文件。它的作用是记录应用访问过的服务器属性,如果存在目标域名则说明中招: Windows: %APPDATA%\apifox\Network\Network Persistent State macOS: ~/Library/Applic…网友解答:
--【壹】--:
apifox已经紧急推送了最新的更新(将js依赖包直接写入了本地,不会从远端拉取),大家更新最新的就行
--【贰】--:
我今天还没运行 apifox ,不要紧吧?我昨天还用了来着,有没有佬友回答一下
--【叁】--:
刚查了我的 我好像也中招了
--【肆】--:
我直接问AI:
你看一下这个文章:Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客 我该怎么检测自己的电脑是否有问题
--【伍】--:
已经中招了
--【陆】--:
可怕可怕!
--【柒】--:
我还排查不了电脑在公司 只能明天去看了
--【捌】--:
得明天看看
--【玖】--:
SCR-20260325-txcu888×676 34.4 KB
真吐血。将近一年没打开用,就前几天打开用了一下..
--【拾】--:
佬,怎么排查啊
--【拾壹】--:
有文件,咋解决啊。版本升级了,这个文件我咋删不了呢
--【拾贰】--:
我这里面搜到有这个域名。Local Storage没有那两个文件。真的是服了apifox了
--【拾叁】--:
还好,今天的这两次事件,排查下来,似乎是安全的。
--【拾肆】--:
中招了,真吐了,刚躲过litellm,又看到了apifox.
--【拾伍】--:
幸好最近用的是公司电脑
--【拾陆】--:
佬再看看Network Persistent State里面有没有恶意域名apifox.it.com,双重确认一下
Windows: %APPDATA%\apifox\Network\Network Persistent State
macOS: ~/Library/Application Support/apifox/Network Persistent State
Linux: ~/.config/apifox/Network Persistent State
--【拾柒】--:
躲过一劫,上个月底用了之后就再没打开过了
--【拾捌】--:
还好我家里电脑没搞这个,还是i倾向于Postman
--【拾玖】--:
感谢佬,我去试试
Apifox 供应链投毒攻击 — 完整技术分析
Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客
刚看到的,分享一下!
近日,工作中监测到 Apifox 文件存在被投毒情况。
Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用
sandbox参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。Apifox 在启动过程中会加载:
hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js该文件正常大小为 34KB,但在 3 月 4 日之后可能会请求到被投毒的版本(77KB)。被投毒的 JS 文件会动态加载
hxxps://apifox[.]it[.]com/public/apifox-event.js(该域名非官方域名),在满足特定条件下加载攻击载荷,采集主机系统环境和敏感信息(SSH 密钥、Git 凭证、命令行历史、进程列表),上报到hxxps://apifox[.]it[.]com/event/0/log。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。目前入口文件已被还原,仅在 Wayback Machine 存档中可见投毒版本。
来自博客评论区,速查指令
- Windows 下执行
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path - macOS 下执行
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
检查下列文件是否包含 apifox.it.com ,这个文件是 Chromium(及基于它的 Electron 应用,如 Apifox)内置的网络堆栈状态记录文件。它的作用是记录应用访问过的服务器属性,如果存在目标域名则说明中招: Windows: %APPDATA%\apifox\Network\Network Persistent State macOS: ~/Library/Applic…网友解答:
--【壹】--:
apifox已经紧急推送了最新的更新(将js依赖包直接写入了本地,不会从远端拉取),大家更新最新的就行
--【贰】--:
我今天还没运行 apifox ,不要紧吧?我昨天还用了来着,有没有佬友回答一下
--【叁】--:
刚查了我的 我好像也中招了
--【肆】--:
我直接问AI:
你看一下这个文章:Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客 我该怎么检测自己的电脑是否有问题
--【伍】--:
已经中招了
--【陆】--:
可怕可怕!
--【柒】--:
我还排查不了电脑在公司 只能明天去看了
--【捌】--:
得明天看看
--【玖】--:
SCR-20260325-txcu888×676 34.4 KB
真吐血。将近一年没打开用,就前几天打开用了一下..
--【拾】--:
佬,怎么排查啊
--【拾壹】--:
有文件,咋解决啊。版本升级了,这个文件我咋删不了呢
--【拾贰】--:
我这里面搜到有这个域名。Local Storage没有那两个文件。真的是服了apifox了
--【拾叁】--:
还好,今天的这两次事件,排查下来,似乎是安全的。
--【拾肆】--:
中招了,真吐了,刚躲过litellm,又看到了apifox.
--【拾伍】--:
幸好最近用的是公司电脑
--【拾陆】--:
佬再看看Network Persistent State里面有没有恶意域名apifox.it.com,双重确认一下
Windows: %APPDATA%\apifox\Network\Network Persistent State
macOS: ~/Library/Application Support/apifox/Network Persistent State
Linux: ~/.config/apifox/Network Persistent State
--【拾柒】--:
躲过一劫,上个月底用了之后就再没打开过了
--【拾捌】--:
还好我家里电脑没搞这个,还是i倾向于Postman
--【拾玖】--:
感谢佬,我去试试