这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。
近期有使用的快排查下吧
官方通告链接: https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig
近期我们排查发现,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在 [ 2026 年 3 月 4 日] 至 [ 2026 年 3 月 22 日] 期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。
攻击者使用的 C2 恶意域名( apifox[.]it.com )当时托管在 Cloudflare ,存活 18 天( 2026 年 3 月 4 日 至 2026 年 3 月 22 日)。目前该域名已无法访问,没有持续发生恶意行为,我们当前无法复现现场。但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/ 、~/.zsh_history 、~/.bash_history 、~/.git-credentials 等)。可能会上报到该恶意域名( apifox[.]it.com )。我们正在联合安全团队持续进行深度溯源。
 |
2 nicoljiang 3 月 25 日 1
特别严重的一个问题,他们在 23 号的时候选择完全不提示用户电脑中数据安全的风险。 |
 |
5 shuangbiaog 3 月 25 日有什么替代品吗,纯本地就行,最好不是 electron |
 |
6 supuwoerc 3 月 25 日公司电脑要求重装&密钥全部替换/弃用... |
 |
8 COW 3 月 26 日看错了,我还以为 apisix 呢 |
 |
9 OnlineParty 3 月 26 日 10
apifox 你 吗 x x 我 x x x ,x x 公司 |
 |
11 aminobody 3 月 26 日我好奇是怎么做到投毒到官方域名的 cdn 上的呢? |
 |
13 version 3 月 26 日 1
Apifox 在目前 ai 能力下.不太看好这个产品...桌面应用本身占用内存大..之前几次崩溃直接本地客户端无法使用 |
 |
15 marsKnight 3 月 26 日我是 3 月 3 日给新电脑下载的 哈哈哈哈 我这算逃过一劫吗 |
 |
16 tyrad 3 月 26 日很危险 居然出这种问题 |
 |
18 fstab 3 月 26 日我也是觉得 postman 优点臃肿,然后换过 apifox 和 apipost ,这两个都需要登录优点麻烦,我又看了下论坛有一个开发者发的 Reqable ,感觉还可以,比较轻量,可千万别出问题啊。不然还得回 postman 。 |
 |
19 songray 3 月 26 日 3
在 apifox localStorage 文件夹下全部的二进制文件里搜索字符串 rl_mc 或 rl_headers MAC 位置 /Library/Application Support/apifox/Local Storage/leveldb WINDOWS 位置 %APPDATA%\apifox\Local Storage\leveldb\ 如果存在说明曾经被成功攻击过 可以精确判断是否中招 |
 |
20 ipeony 3 月 26 日只是测试 API 的推荐下 Yaak, 主要看重支持 git 同步数据 |
 |
23 Duolingo 3 月 26 日 via Android确定中招了,我的 github 里在我睡眠时间多了一堆 security log |
 |
24 duck2 3 月 26 日有新的 cve 号吗?转发下内部群 |
 |
26 Nasdaq 3 月 26 日草,直接卸载。搞的什么垃圾软件~ |
 |
27 shansing 3 月 26 日补充一下 #19 的 Linux 的检测命令和目录: |
 |
28 suyuyu 3 月 26 日还好我挺厌烦 electron 的 |
 |
29 miku999 3 月 26 日 25
那得拿出这张图了 |
 |
31 euronx 3 月 26 日我没看懂,为啥会加载一个第三方的 js 文件 |
 |
32 hengshenyu 3 月 26 日 via Android目前 windows 版本是不是只有 ssh 相关的泄露?其他密码还好? |
 |
36 body007 3 月 26 日还好我用的 web 版加浏览器插件,没有运行桌面版。浏览器刷新一下就是最新版本了。 |
 |
38 Javin 3 月 26 日好久都没用了,逃过了一劫,赶紧卸载,感觉 Ai 时代这种事情越来越多。。。 |
 |
40 yustation 3 月 26 日.gemini/.antigravity/.codex 有风险吗 |
 |
41 frantic 3 月 26 日"Apifox 公网 SaaS 版桌面客户端" 听起来是给企业版的,但他们家只有桌面客户端和网页端; 所以就是只要你在期间用过 Apifox 客户端的就会中招 |
 |
43 hugozach 3 月 26 日去年看 apifox 客户端内存使用就不对劲 我直接使用网页版 不愧是我 |
 |
47 sjdhome 3 月 26 日还好我只用 curl 测试 API |
 |
48 EeveeRibbon 3 月 26 日中招了,但是我的 SSH 私钥都用的是密码管理器管理,逃过一劫,真是万幸 |
 |
50 draguo 3 月 26 日这种工具确实越来越没用了,都用 ai 开发,这玩意不方便 |
 |
55 fingerxie 3 月 26 日我了个去? 我还用的 1password 维护账密、信用卡信息,不会也因此被泄露了吧? 这影响太大了 |
 |
56 ronyin 3 月 26 日去年就有人提醒过,这就是个广州的公司。。存在漏洞,使用起来也不方便,还收费。。 |
 |
58 stinkytofux 3 月 26 日@fingerxie 问题不大, 只要你不是用明文文件保存的就没事. 1password bitwarden 这类密码管理器的存储文件都是加密的, 没有主密码解不开. |
 |
59 MX123 3 月 26 日今天刚装上 Hoppscotch ,小龙虾推荐的 |
 |
62 YIsion 3 月 26 日 1
mac 好像默认没有给 用户主目录权限,用 mac 的应该好点 |
 |
66 deplives 3 月 26 日 3
这玩意儿还有一个问题是 macOS 下只要打开 app ,这玩意儿会写一个 pmset 的电源管理阻止电脑休眠,不要问我咋发现的,公司电脑只要打开这个 app 就没法休眠一开始排查了各种问题,直到最后才发现只要打开这个 app pmset 就能发现被写入一条禁止息屏和禁止休眠的策略,离谱到家 |
 |
67 cutecore 3 月 26 日这个,“公网 SaaS 版“ 桌面客户端 什么意思 |
 |
69 ZeroDu 3 月 26 日windows 上该怎么搜索 |
 |
70 guguji5 3 月 26 日用了 4 年了,没看懂这是什么问题 |
 |
73 ZhaokunZhang 3 月 26 日@guguji5 加载了一个非官方 CDN 的 js 文件,这个文件能获取本地的密钥,比如 github ,ssh key ,再获取你之前在终端敲的历史命令,然后传出去。基本上就是说,如果你的设备被攻击了,你得换密码了,还好我不用 apifox 就走本地 curl |
 |
74 dif 3 月 26 日两年前就放弃了- -。 |
|
75 YIsion 3 月 26 日@chandlerbing9317 #72 如果只是上传 ssh 配置和 bash 命令的话。macos 默认不允许 APP 访问 ~/ 目录。只要没授权泄漏的应该是只有 apiFox 的用户信息,怕得就是 恶意文件直接通过漏洞恶意越权。 如果电脑一直是最新系统,问题应该还好 |
 |
76 twofox 3 月 26 日在 leveldb 文件夹下搜索执行 powershell Get-ChildItem -Recurse -File | ForEach-Object { if (Select-String -Path $_.FullName -Pattern "rl_mc|rl_headers" -Quiet) { $_.FullName } } |
 |
80 w568w 3 月 26 日搞笑的是官方发的道歉通告也是一股 AI 生成味: 「(已完成) 」「(极其重要)」 全司上下怕是找不出几个还会手敲文字的了。 |
 |
81 ShinKu 3 月 26 日Select-String -Path "$env:USERPROFILE\AppData\Roaming\Apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path |
 |
85 czy0612 3 月 26 日Windows 执行 MAC 执行 |
 |
86 lisongeee 3 月 26 日 |
 |
87 BenX 3 月 26 日这货第一天装上就删了,不靠谱。 |
 |
88 deepshe 3 月 26 日我查到最后一次使用 apifox 是 2026 年 1 月 14 日,但是也中招了 leveldb 文件夹里能查到 rl_headers ,这个软件是不是会后台启动啊 |
 |
89 a9htdkbv 3 月 26 日躲过一劫,前几个月刚好重装系统没装 apifox 。现在我内网 dns 服务器已直接屏蔽*.it.com 这个域名,it.com 这个域名好像很多黑灰产、C2C 都在用来着( |
 |
91 Height 3 月 26 日 via iPhone 1
极力 reqable ,flutter 写的,功能全,体积小,性能好,内存占用小,自从用了它,insomnia 就弃用了 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。
