## Apifox 公网 SaaS 客户端遭供应链攻击，恶意脚本潜伏18天窃取开发凭证
国内主流API协作平台Apifox的公网SaaS版桌面客户端，在长达18天的时间里，因供应链攻击而持续加载一个被恶意篡改的外部JavaScript文件。攻击者通过一个托管在Cloudflare上的域名（apifox.it.com）作为命令与控制（C2）服务器，可能已窃取大量本地开发环境中的敏感凭证。此次事件是典型的供应链攻击，攻击者通过污染客户端依赖的远程脚本来实现大规模渗透，而非直接攻破Apifox核心服务器。

根据Apifox官方于3月25日发布的公告，此次攻击的风险窗口期为2026年3月4日至3月22日，仅影响其公网SaaS版的桌面客户端，Web版本和私有化部署版本不受影响。被植入的恶意脚本主要针对开发者的本地工作站，其窃取目标明确指向核心身份凭证，包括SSH私钥（~/.ssh/）、各类Shell历史记录（如.zsh_history、.bash_history）、Git凭证（.git-credentials）、GitHub令牌、Kubernetes配置（kubeconfig）、Docker Registry认证以及macOS钥匙串中的相关条目。这表明攻击者意图获取持续访问开发者基础设施和代码仓库的权限。

事件暴露了软件供应链中动态加载外部资源的巨大风险。虽然C2域名现已下线，但在此期间使用过受影响客户端的开发者，其本地环境可能已遭到持续窃密。攻击者获取的SSH密钥和各类API令牌，可直接用于入侵公司服务器、代码仓库和云原生基础设施，引发二次数据泄露甚至更严重的网络入侵。目前，社区已出现应急响应工具，可自动化扫描系统状态、备份并轮换所有可能泄露的凭证，并引导用户检查GitHub安全日志等异常活动，以进行事后审计与止损。
---
- **Source**: V2EX
- **Sector**: The Lab
- **Tags**: 供应链攻击, SaaS安全, 开发者工具, 凭证泄露, 应急响应
- **Credibility**: unverified
- **Published**: 2026-03-26 08:09:13
- **ID**: 34913
- **URL**: https://whisperx.ai/zh/intel/34913