## Apifox 公网 SaaS 客户端遭供应链攻击，恶意脚本潜伏18天窃取开发凭证
国内主流API协作平台Apifox的公网SaaS版桌面客户端，在长达18天的时间里，因供应链攻击而持续加载一个被恶意篡改的外部JavaScript文件。攻击者控制的恶意域名apifox.it.com在此期间活跃，专门窃取开发者的本地敏感凭证，包括SSH密钥、Shell历史记录、GitHub令牌及各类云原生配置。此次事件仅影响桌面客户端用户，Web版和私有化部署版本不受波及。

根据Apifox官方于3月25日发布的公告，攻击的风险窗口期为2026年3月4日至3月22日。被植入的恶意脚本具备定向窃取能力，其目标明确指向开发环境中的核心机密，如`~/.ssh/`目录下的私钥、各类Shell历史文件（如`.zsh_history`, `.bash_history`）中可能残留的访问令牌、`.git-credentials`文件以及Docker、Kubernetes的认证配置。攻击者利用Cloudflare托管的C2域名进行数据回传，该域名目前已下线。

此次事件对使用受影响客户端的开发者构成了直接且严重的凭证泄露风险。攻击者一旦获取这些密钥，即可横向渗透至受害者的代码仓库、服务器集群及容器注册表。社区安全人员已迅速响应，开发出一款开源应急响应工具，可自动化完成从取证确认、进程终止到全面凭证轮换（包括SSH、GitHub、K8s、Docker等）的全流程，并引导用户审计GitHub安全日志等异常活动，以应对潜在的后继攻击。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: 供应链攻击, SaaS安全, 开发者工具, 凭证泄露, 应急响应
- **Credibility**: unverified
- **Published**: 2026-03-26 06:39:40
- **ID**: 34810
- **URL**: https://whisperx.ai/zh/intel/34810