Apifox SaaS版桌面客户端遭供应链攻击，敏感开发文件或已泄露

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击窗口期长达18天，从2026年3月4日持续至3月22日。在此期间使用该客户端的用户，其本地设备上的高敏感文件面临泄露风险。攻击者使用的恶意域名已失效，但被植入的脚本具有概率性触发特征，一旦触发，可能读取并外传用户本地的SSH密钥、Shell历史记录及Git凭证等核心开发资产。

此次攻击精准针对开发者的工作环境。根据官方通告，恶意脚本可能读取的目标文件包括 `~/.ssh/` 目录、`~/.zsh_history`、`~/.bash_history` 以及 `~/.git-credentials`。这些文件一旦泄露，攻击者可直接获取服务器访问权限、代码仓库凭证及敏感操作历史。攻击者使用的C2域名为 `apifox.it.com`，曾托管于Cloudflare，目前该域名已无法访问，现场难以复现。Apifox私有化部署版本未受此次事件影响。

事件暴露了软件开发工具链（SDLC）中第三方依赖的潜在安全风险。攻击者通过污染客户端依赖的公共脚本，实现了对大量开发者工作站的潜在渗透。尽管恶意活动已暂停，但鉴于脚本的隐蔽性与概率触发机制，受影响用户需立即排查本地敏感文件是否曾被读取。Apifox官方表示正联合安全团队进行深度溯源，但尚未公布攻击者的具体动机或已确认的数据泄露规模。所有在风险期内使用过Apifox SaaS桌面客户端的开发团队，都应将其视为一次已发生的凭证泄露事件进行应急响应。