## Apifox 公网 SaaS 客户端遭供应链攻击，恶意脚本潜伏18天窃取开发凭证
国内主流API协作平台Apifox的公网SaaS版桌面客户端，在长达18天的时间里，因供应链攻击而持续加载恶意脚本。攻击者篡改了客户端动态加载的外部JavaScript文件，将用户数据秘密回传至一个伪装成官方域名的C2服务器。此次事件精准打击了开发者的核心工作环境，直接威胁SSH密钥、Shell历史记录、Git凭证乃至K8s和Docker配置等敏感资产。

根据Apifox官方公告，攻击活动窗口为2026年3月4日至22日，仅影响公网SaaS版桌面客户端，Web版及私有化部署版本不受波及。恶意域名 `apifox.it.com` 托管于Cloudflare，在存活18天后已被下线。攻击脚本具备数据收集能力，可能泄露的目标包括用户主目录下的 `.ssh/` 文件夹、各类Shell历史文件（如 `.zsh_history`, `.bash_history`）以及 `.git-credentials` 等包含访问令牌的凭证文件。

事件暴露了软件供应链的脆弱环节，即对第三方依赖的动态加载缺乏有效验证与监控。对于大量使用Apifox进行API开发、测试和管理的团队而言，这意味着其开发基础设施可能已面临持续性的凭证泄露风险。受影响用户需立即检查并轮换所有相关凭证，审查近期的代码仓库操作与云平台活动日志，以排查潜在的未授权访问。此次攻击也警示同类SaaS工具厂商，必须加强对客户端更新渠道与外部资源完整性的安全管控。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: 供应链攻击, SaaS安全, 凭证泄露, 开发者工具, 应急响应
- **Credibility**: unverified
- **Published**: 2026-03-26 05:09:43
- **ID**: 34710
- **URL**: https://whisperx.ai/zh/intel/34710