Apifox 供应链投毒事件:开发者敏感凭证或已被窃取

前言

2026年3月25日,安全预警平台 2Libra 发布漏洞预警,国内知名 API 管理工具 Apifox 桌面端应用被发现存在供应链投毒风险。攻击者通过污染官方 CDN 上的 JavaScript 文件,利用 Electron 框架的安全配置缺陷,实现了对用户终端的远程控制,并窃取 SSH 密钥、Git Token、Kubernetes 配置等敏感凭证。

⚠️ 重要提醒:如果你在 2026年3月4日至3月25日 期间使用过 Apifox 桌面端,请立即检查并轮换相关凭证!

一、事件概述

(一)工具背景

Apifox 是国内广泛使用的 API 一体化协作平台,集 API 文档、调试、Mock、自动化测试于一体,用户群体覆盖大量开发者和企业。

  • 官网:https://apifox.com
  • 安全资质:ISO 27001 认证、国家信息安全等级保护三级认证

(二)事件核心

攻击者成功污染了 Apifox 官方 CDN 上的 JavaScript 文件:

1
2
3
恶意文件:cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js
托管平台:Cloudflare CDN
存活时间:约 18 天(3月4日 - 3月25日)

二、时间线

时间 事件 状态
2026年3月4日 恶意 JS 文件开始部署到 CDN 🔴 攻击开始
2026年3月25日 07:00 安全机构 2Libra 发布漏洞预警 📢 预警发布
2026年3月25日 10:33 仍有用户报告可请求到恶意文件 ⚠️ 威胁持续
2026年3月25日(后续) 部分用户反馈新版已修复 🔄 待官方确认
2026年3月26日 官方尚未发布正式安全公告 ❓ 关注中

关键时间窗口:3月4日至3月25日期间使用过 Apifox 桌面端的用户均可能受影响。

三、技术分析

(一)攻击原理

Apifox 桌面端基于 Electron 框架开发,存在以下安全配置问题:

1
2
3
4
5
问题根源:
├── 未严格启用 sandbox 参数
├── 暴露了 Node.js 的 API 接口
├── 渲染进程拥有过高权限
└── 允许加载远程 JavaScript 代码

(二)攻击链路

1
2
3
4
5
6
7
8
9
10
11
[用户启动 Apifox]

[加载被污染的 CDN 文件]

[恶意代码利用 Node.js API]

[读取本地敏感文件]
~/.ssh/, ~/.kube/, ~/.gitconfig

[通过伪装域名回传数据]
Cloudflare 托管的恶意服务器

(三)被窃取的数据

根据安全研究人员 @AabyssZG 的分析,以下敏感信息可能已被窃取:

数据类型 文件路径 危害程度
SSH 私钥 ~/.ssh/id_rsa, ~/.ssh/id_ed25519 🔴 严重
Git Token ~/.gitconfig, ~/.git-credentials 🔴 严重
K8s 配置 ~/.kube/config 🔴 严重
AWS 凭证 ~/.aws/credentials 🔴 严重
npm Token ~/.npmrc 🟠 高
pip 配置 ~/.pypirc 🟠 高

四、影响范围

(一)受影响用户

  • 时间窗口:2026年3月4日之后使用过 Apifox 桌面端的用户
  • 平台:Windows / macOS / Linux 桌面版
  • Web 版:不受影响(桌面端专属漏洞)

(二)潜在危害

危害等级 影响描述
🔴 严重 服务器被完全控制
🔴 严重 代码仓库被入侵
🟠 高 云服务资源被盗用
🟠 高 敏感配置泄露
🟡 中 内网横向渗透

五、应急响应

(一)立即行动

1. 更新 Apifox

升级到最新版本,确认官方已修复漏洞。

2. 凭证轮换(重要!)

1
2
3
4
5
6
# SSH 密钥 - 删除旧密钥并重新生成
rm ~/.ssh/id_rsa*
ssh-keygen -t ed25519 -C "your@email.com"

# 将新的公钥部署到服务器
ssh-copy-id user@server
1
2
3
# Git Token - 前往各平台重新生成
# GitHub: Settings -> Developer settings -> Personal access tokens
# GitLab: Settings -> Access Tokens
1
# K8s 配置 - 联系管理员重新下发 kubeconfig
1
2
3
# 云服务 - 轮换所有 Access Key
# AWS: IAM -> Users -> Security credentials -> Access keys
# 阿里云: RAM -> 用户 -> 认证管理 -> AccessKey

3. 检查异常

  • 检查服务器登录日志(/var/log/auth.log/var/log/secure
  • 检查代码仓库最近提交记录
  • 检查云服务账单是否有异常消费
  • 检查是否有未知的服务器登录

4. 隔离受影响设备

  • 断开敏感网络连接
  • 避免在修复前处理敏感数据

(二)长期防护

  • 使用沙箱或虚拟机运行第三方桌面应用
  • 定期轮换敏感凭证
  • 实施最小权限原则
  • 监控异常网络请求
  • 重要凭证使用硬件密钥(如 YubiKey)

六、历史漏洞

Apifox 此前也曾出现安全漏洞:

编号 类型 影响 披露时间
CVE-2022-28464 XSS 跨站脚本攻击 可导致远程代码执行 2022年4月

七、待确认信息

⚠️ 以下信息需要进一步核实

  • [ ] 官方是否已发布正式安全公告
  • [ ] 受影响的具体版本范围
  • [ ] 是否有用户实际受损案例
  • [ ] 攻击者身份及动机
  • [ ] CDN 是如何被入侵的

八、参考资料

  1. 2Libra - 漏洞预警:关于 apifox 被投毒的风险提示
  2. UniFuncs - APIFox被曝遭供应链投毒?单一预警引安全担忧
  3. Twitter/X - @AabyssZG 安全研究分析

总结

这是一起典型的供应链攻击事件,攻击者利用 Electron 框架的安全配置缺陷,通过污染官方 CDN 实现了对用户终端的控制。由于 Apifox 用户群体主要是开发者,被窃取的 SSH 密钥、Git Token、K8s 配置等凭证可能导致严重的安全后果。

如果你是受影响用户,请立即:

  1. ✅ 更新 Apifox 到最新版本
  2. ✅ 轮换所有敏感凭证(SSH、Git Token、云服务 Access Key 等)
  3. ✅ 检查服务器和代码仓库是否有异常
  4. ✅ 关注 Apifox 官方公告

📌 本文基于公开安全预警信息整理,部分细节可能随调查深入而更新。

整理时间:2026-03-26