用过Apifox的注意了！你的SSH密钥可能已经被偷了

⚠️ Apifox被投毒18天：数百万开发者的密钥可能已泄露

如果你是一名开发者，并且用过Apifox这款API调试工具，请立刻停下手头的工作，看完这篇文章。

2026年3月，国内开发圈爆出一起严重的供应链投毒事件——Apifox桌面端被黑客篡改，数百万开发者的SSH密钥、Git凭证可能已泄露。

这不是演习，也不是谣言。攻击持续了整整18天，而你大概率浑然不觉。

到底发生了什么？

简单说：你信任的开发者工具，成了黑客的特洛伊木马。

Apifox是国内最流行的API调试工具之一，号称"Postman的中国替代品"。正因为用户基数庞大，它成了攻击者的完美目标。

攻击时间线：

• 3月4日：黑客篡改了Apifox CDN上的一个JS文件
• 3月4日-22日：所有打开Apifox的开发者，电脑都被悄悄植入了恶意代码
• 3月22日：DNS记录被移除，攻击暂时停止
• 3月23日：Apifox发布2.8.19版本修复漏洞，但未发布安全公告

恶意代码做了什么？

它会自动窃取你电脑上的：

• SSH私钥（~/.ssh/目录下的所有文件）
• Git凭证（GitHub/GitLab的Token和密码）
• 命令行历史（bash/zsh历史记录，可能包含密码）
• 进程列表（了解你在运行什么程序）
• K8s配置（Kubernetes集群的访问凭证）

然后，全部上传到黑客的服务器。

为什么说这事很严重？

你可能觉得："不就是一个工具被黑了吗？我改个密码不就完了？"

太天真了。

1. SSH密钥泄露≠改密码那么简单

SSH密钥是免密登录服务器的"万能钥匙"。一旦泄露，黑客可以：

• 直接登录你的服务器
• 横向移动到内网其他机器
• 以你的身份提交代码、部署后门

而且SSH密钥无法撤销，只能重新生成。如果你忘了轮换密钥，黑客可以永久保留访问权限。

2. 开发者是供应链攻击的黄金目标

开发者的电脑上有什么？

• 生产服务器的SSH密钥
• 代码仓库的访问权限
• 数据库连接配置
• 内部API的Token

攻击一个开发者，等于攻击整个公司。

3. 攻击极具隐蔽性

黑客用的C2域名是 apifox.it.com，看起来像是Apifox的官方域名（实际上 .it.com 是商业二级域名服务，与Apifox无关）。

恶意代码还会"概率性触发"和"用完即焚"，让你很难察觉异常。

你中招了吗？快速自查

如果你在 2026年3月4日至3月22日 期间打开过Apifox桌面端，默认认为自己已中招。

检查方法

Windows（PowerShell）：

Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

macOS/Linux：

grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

如果命令输出了文件路径，说明你已中招。

网络流量检查： 查看你的路由器/代理软件，搜索是否有 apifox.it.com 的请求记录。如果有，说明你的数据已被上传。

中招了怎么办？紧急处理清单

如果你确认自己中招，或者无法确认但在此期间用过Apifox，请按以下顺序立即处理：

✅ 第一步：升级Apifox

立即升级到 2.8.19或更高版本。

官方在3月23日的更新中移除了动态加载JS的机制（改为内置），但未发布安全公告，很多用户至今不知道这件事。

✅ 第二步：轮换所有密钥

这不是夸张，是必要操作：

1. SSH密钥：删除~/.ssh/下的所有密钥，重新生成新的密钥对，重新配置到服务器
2. Git Token：吊销GitHub/GitLab的所有Personal Access Token，重新生成
3. K8s凭证：轮换Kubernetes集群的OIDC Token和kubeconfig
4. npm Token：轮换npm registry的Token
5. API Key：修改命令行历史中暴露的所有API Key和密码

✅ 第三步：检查服务器日志

检查你的服务器登录日志，查看是否有异常SSH登录：

last -a | grep -v "your_normal_ip"
cat /var/log/auth.log | grep "Accepted"

✅ 第四步：清理Apifox缓存

macOS：

rm -rf ~/Library/Application\ Support/Apifox
rm -rf ~/Library/Caches/com.apifox.app

Windows： 删除 %APPDATA%\apifox 目录

✅ 第五步：监控网络

安装网络监控工具（如macOS的LuLu或Little Snitch），阻止可疑的网络连接。

不是Apifox用户就安全了吗？

供应链攻击远不止Apifox。

recent months，类似的攻击还有：

• XZ Utils后门：一个广泛使用的压缩库被植入后门，差点影响所有Linux发行版
• PyTorch恶意包：PyTorch的nightly版本被替换，窃取SSH密钥
• 各种npm/pypi恶意包：伪装成常用库，窃取敏感信息

开发工具、开源库、CLI工具，都可能成为攻击向量。

如何预防类似事件？

1. 最小权限原则

不要在你的日常开发机上保存生产环境的高权限凭证。使用跳板机、短期凭证、权限分离。

2. 定期轮换密钥

SSH密钥、API Token不要一用就是好几年。建议每3-6个月轮换一次。

3. 监控网络流量

使用防火墙工具监控应用程序的网络连接，发现异常及时阻断。

4. 多因素认证（MFA）

所有支持MFA的服务，全部开启。即使密钥泄露，攻击者也无法直接登录。

5. 保持软件更新

及时更新开发工具，安全补丁往往是静默修复的，不更新就暴露风险中。

写在最后

这次Apifox事件给所有开发者敲响了警钟：你信任的工具，可能成为最大的安全隐患。

Apifox官方在修复漏洞后，没有发布安全公告，没有主动通知受影响用户，这种"悄悄修复"的态度令人失望。

但作为用户，我们不能依赖厂商的自觉，只能提高自己的安全意识。

如果你用过Apifox，请转发这篇文章给你的同事和朋友，让他们也检查一下。

供应链攻击不会因为忽视而消失，只会因为传播和修复而减少伤害。

参考链接：

• 技术分析：https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
• IT之家报道：https://www.ithome.com/0/932/605.htm
• 蓝点网：https://www.landiannews.com/archives/112328.html

封面由AI生成