近日国内流行的API协作平台Apifox发布公告,称遭遇供应链投毒。微步情报局研判发现,3月4日后,一旦请求域名apifox.it.com即已失陷,建议用户立即排查和做好应急处置,同时升级至最新版本,Windows、Linux以及macOS均受影响。(排查方法和处置建议详见后文)
图:Apifox官方公告
公告显示,Apifox CDN服务所托管的前端脚本文件被植入恶意代码,3月4日后启动应用有概率触发,收集主机敏感信息并下载、执行后续载荷。目前,apifox.it.com已无法访问,共持续18天。
事件分析
2026年3月25日8点36分,在2libra论坛上有用户爆出知名API协作研发平台Apifox存在投毒攻击:
微步情报局分析投毒js文件可以看到远控IOC:apifox.it.com,其余四个IOC尚未在攻击者代码中看到,但建议封禁。 Apifox基于Electron框架开发,如果在不开始沙盒(Sandbox)且通过网络加载JavaScript资源,一旦发生劫持或投毒,攻击者的恶意脚本可直接在主机环境下运行,执行命令,窃取本地文件。 旧版(SaaS版2.8.19以前)Apifox应用启动后会从官方地址获取js资源(目前请求资源正常):
通过Wayback Machine可以搜索到该js资源在3月5号的存档:
从该存档文件可以看到,攻击者在原本js文件末尾增加了一段高度混淆的代码:
而该恶意代码首先会加载node.js的crypto,os模块
通过该模块读取设备信息:网络接口/MAC、CPU、平台、主机名、用户名等。然后尝试读取本地的common.currentUserId获取使用用户的信息,如果不存在则通过读取common.accessToken 调Apifox的官方接口补充身份信息,攻击者使用该信息作为上传窃密信息的用户标记字段afapifoxuser,afapifoxname:
收集完成信息后,恶意脚本会调用本地硬编码的PEM 私钥对信息加密上传:
上传地址被混淆加密:
解密后地址为:https://apifox.it.com/public/apifox-event.js,并对请求响应使用硬编码的PEM私钥解密执行:
整个过程会通过scheduleNext在30分钟到3个小时之间随机间隔不断触发:
解密加载的第二阶段载荷会进一步收集窃密主机信息:包括不限于:history文件,ssh私钥,known_hosts文件
受影响排查
Apifox官方指出在2.8.19以及更高版本,本地客户端不再通过在线加载js资源,而内置打包:
OneSEC用户可查询历史日志中是否存在IOC域名反连来确定失陷范围:
建议同时根据安装Apifox的版本来确定要升级范围,对于低于2.8.19版本的机器进行及时升级。这些低版本机器未出现ioc反连,也建议做各类密码、token和key的轮换或者重置:
用户也可以通过禁止对apifox.it.com的访问进行临时阻断。
处置建议
根据Apifox官方对该投毒事件的公告:关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 - Apifox 帮助文档。 链接:https://docs.apifox.com/8392582m0
微步情报局强烈建议,用户立即升级Apifox到2.8.19版本及以上,同时更换SSH密钥,GitHub、GitLab密码/Token,修改命令行历史中暴露的所有密码、Token 和 API Key,审查服务器登录日志,检查是否有异常 SSH 。
IOC
apifox.it.com 以下IOC暂未标记情报,由事件预警者Path@2Libra提供。尚未在攻击代码中找到相关域名,域名高度可疑,严谨起见可以封禁
cdn.openroute.dev upgrade.feishu.it.com system.toshinkyo.or.jp ns.feishu.it.com
Reference 【漏洞预警】关于 apifox 被投毒的风险提示 - 2Libra https://2libra.com/post/network-security/8HvXoR_
关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 - Apifox 帮助文档 https://docs.apifox.com/8392582m0
Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客 https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
-END-
