## Apifox 公网 SaaS 客户端遭供应链攻击，恶意脚本潜伏18天窃取开发凭证
国内主流API协作平台Apifox的公网SaaS版桌面客户端，在长达18天的时间里，因供应链攻击而持续加载恶意JavaScript文件。攻击者通过篡改客户端动态加载的外部脚本，将用户流量导向一个托管在Cloudflare上的恶意域名（apifox.it.com），从而窃取本地开发环境中的敏感凭证。此次事件的风险窗口为2026年3月4日至3月22日，官方已确认Web版和私有化部署版本不受影响。

根据官方公告，攻击者的目标明确指向开发者的核心工作环境。被窃取的数据可能包括存储在用户主目录下的SSH私钥（~/.ssh/）、Shell历史记录（如.zsh_history, .bash_history）以及Git凭证（.git-credentials）。这意味着攻击者可能已获取访问代码仓库、服务器和容器镜像库的密钥。事件暴露了软件供应链中动态资源加载环节的严重安全短板。

此次攻击对使用受影响客户端的开发者构成了直接威胁，潜在影响范围涉及个人开发机到企业内网。攻击者可能利用窃取的凭证横向移动，访问GitHub、Kubernetes集群、Docker Registry等关键基础设施。社区已迅速响应，有开发者发布了应急响应工具，可自动化完成进程终止、SSH密钥轮换、Shell历史清理、GitHub Token更新及各类云原生凭证（如kubeconfig, Docker登录信息）的备份与登出操作，以帮助受影响的用户进行事后补救与审计。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: 供应链攻击, SaaS安全, 开发者工具, 凭证泄露, 应急响应
- **Credibility**: unverified
- **Published**: 2026-03-26 07:09:22
- **ID**: 34840
- **URL**: https://whisperx.ai/zh/intel/34840