【安全通告】Apifox 桌面客户端供应链投毒风险通告

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

Apifox 是一款由广州睿狐科技有限公司研发的 API 一体化协作平台，集成了 API 文档管理、调试、自动化测试、Mock 数据和代码生成等功能，旨在替代 Postman、Swagger 等工具。其桌面客户端应用基于 Electron 框架开发，主要使用 JavaScript/TypeScript 语言构建。

据官方描述，在 Apifox 桌面客户端（全平台，Windows/macOS/Linux）中，由于应用未严格启用 Electron 的 sandbox 安全参数，并暴露了 Node.js 的 API 接口，导致其存在可被攻击者利用的安全缺陷。攻击者通过劫持官方 CDN 域名（cdn.apifox.com）上托管的 apifox-app-event-tracking.min.js 文件，将其替换为恶意版本（大小从正常的34K变为77K）。该恶意脚本会动态加载非官方域名（apifox[.]it[.]com）上的攻击载荷，在满足特定条件下采集主机系统的 SSH 密钥、Git 凭证、命令行历史、进程列表等敏感信息，并上报至攻击者控制的服务器，随后可拉取执行后门程序并尝试横向移动。

注：本次投毒事件主要影响“公网 SaaS 版 Apifox 桌面客户端”用户。即在2026年3月4日至2026年3月22日期间使用了公网 SaaS 版 Apifox 桌面客户端的用户，可能存在敏感信息泄露风险。而 SaaS Web 版用户和私有化部署版用户均不受影响。

Apifox 桌面客户端 < 2.8.19

1. 检查 Electron localStorage 中是否存在 _rl_headers、_rl_mc 键

2. 检查历史 HTTP 请求头中是否包含 af_uuid、af_os、af_user、af_name、af_apifox_user、af_apifox_name 等异常字段

3. 检查是否有读取 common.accessToken 凭证

4. 检查是否有访问 ~/.ssh/*、~/.git-credentials、~/.zsh_history、~/.bash_history、~/.kube/*、~/.npmrc、~/.zshrc、~/.subversion/* 文件

5. 检查是否有执行 ps aux (Linux/macOS)、tasklist (Windows) 命令

6. 监控网络流量中是否有到以下域名的历史请求流量：

apifox[.]it[.]com (日本 AWS，为 electron c2 平台，IP地址：13.192.121.27)

cdn[.]openroute[.]dev (日本 AWS，为 rc-agent 下载站，IP地址：35.73.118.14)

upgrade[.]feishu[.]it[.]com (日本 AWS，为 frp 回连地址，IP地址：3.112.191.69)

system[.]toshinkyo[.]or[.]jp (日本 AWS，IP地址：13.192.249.162)

panel[.]feishu[.]it[.]com (frp 面板)

d[.]feishu[.]it[.]com (frp 客户端下载站)

api[.]feishu[.]it[.]com (frp 面板后端 api)

ns[.]feishu[.]it[.]com (为 rc-agent 回连地址)

ns[.]openroute[.]dev (为 rc-agent 回连地址)

1. 官方已发布安全补丁及修复版本，请评估业务是否受影响后，建议升级至最新版本

https://apifox.com/

2. 加固方案：

(1) 轮换所有 SSH 密钥 ( ~/.ssh/ 下的全部密钥对)

(2) 吊销所有 Git Personal Access Token (GitHub、GitLab 等)

(3) 轮换 K8s 集群 OIDC Token 和 kubeconfig

(4) 轮换 npm registry Token

(5) 修改命令行历史中暴露的所有密码、Token 和 API Key

(6) 审查服务器登录日志，检查是否有异常 SSH 登录

(7) 启用 Apifox 的 Electron 模式，限制渲染进程的 Node.js API 访问

(8) 对加载的远程 JS 文件实施 Subresource Integrity (SRI) 校验

(9) 建立 CDN 资源的文件完整性监控机制

(10) 通过防火墙或 DNS 层面阻断恶意域名（如 apifox[.]it[.]com、cdn[.]openroute[.]dev、upgrade[.]feishu[.]it[.]com 等）的连接，并监控 CDN 资源的文件大小变化

【备注】：建议您在升级前做好数据备份工作，避免出现意外