供应链攻击 (Supply chain attack) 是一个定义宽泛且未能达成共识的术语。
这个定义最宽泛的解释是一切非直接攻击都可以称作供应链攻击，因此世界上绝大多数成功的网络攻击都可以算是供应链攻击。稍微严格的解释是受信任的上游被攻破、植入后门，造成难以发现的下游打击。
它暗示厂商本身也是受害者，常用于甩锅大会，但厂商不能由于自己服务器被攻破了，然后声称自己受到了供应链攻击，受到攻击的是用户，厂商是跳板。
例如 2013 年的 Target 泄密事件，黑客攻击 Target 的上游 Fazio 窃取到凭证，横向移动盗走 Target 几千万张信用卡信息，Target 在这次事件中和被偷走信息的用户都是受害者，他们遭受到了供应链攻击。至于 Target 内部安全措施和管理一坨屎是另一回事。
2020 年的 SolarWinds 事件，Orion 的构建服务被黑，这里遭受到供应链攻击的是使用了 Origin 的倒霉蛋。对于此次事件 SolarWinds 甩锅给了外国政府。但无论怎么说，这还是自身服务被直接攻破了的原因。

如果 Apifox 要声称自己遭到供应链攻击，那只能是七牛云投的毒。
我更倾向于是某个开发或者管理人员的凭证被偷了，或者有内部人员勾结黑产。