官方公告概要受影响时间2026 年 3 月 4 日 — 2026 年 3 月 22 日受影响版本Apifox 公网 SaaS 桌面客户端Web 版及私有化版不受影响风险点外部 JS 文件遭恶意篡改可能读取并上传本地敏感文件~/.ssh//.zsh_history、/.bash_history~/.git-credentials恶意域名apifox.it.com托管于 Cloudflare现已无法访问官方修复2.8.19 及以上版本已改为本地内置打包切断攻击路径深度自查开发者实测macOSgrep -raE “rl_mc|rl_header” “~/Library/Application Support/apifox/Local Storage/leveldb”Windows在 %APPDATA%\apifox\Local Storage\leveldb 下搜索字符串 rl_mc判断依据若搜索到 _rl_headers_file://_rl_mc 等内容则恶意 JS 曾成功加载并尝试执行补救措施必须执行升级客户端立即更新至 2.8.19 或更高版本凭证轮换SSH Key废弃旧密钥生成新密钥并更新服务器Git 凭据清理并重新生成 ~/.git-credentials 和所有 Git Token环境变量检查 .zshrc、.bash_history 中是否有明文密码或云服务 Access Key阻断恶意域名在 hosts 文件中增加127.0.0.1 apifox.it.com彻底清理并重装macOS删除 ~/Library/Application Support/apifoxWindows删除 %APPDATA%\apifox然后重新安装最新版本客户端供应链攻击特征与风险提醒攻击方式通过依赖来源如 CDN 或第三方代码植入恶意逻辑影响最终用户特点绕过边界安全防护隐蔽运行直接读取本地敏感文件历史案例Polyfill.io、XcodeGhost 等风险结论与实践建议本次事件为供应链投毒类安全事件存在敏感信息泄露风险官方已发布修复版本但用户仍需主动排查与止损建议即刻升级客户端全面轮换密钥与凭据检查历史命令日志是否泄露敏感信息加强开发环境安全边界标签#Apifox #供应链攻击 #安全事件分析 #恶意JavaScript #SSH密钥泄露 #Git凭证 #信息安全