Apifox SaaS版桌面客户端遭供应链攻击，敏感文件存在泄露风险

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击窗口期长达18天，从2026年3月4日持续至3月22日。在此期间使用该客户端的用户，其设备上的高敏感文件面临泄露风险。攻击者利用了一个托管在Cloudflare上的恶意C2域名（apifox.it.com），该域名现已无法访问，但潜在的数据泄露风险已经形成。

根据官方通告及安全分析，被植入的恶意脚本具有概率性触发的特征。一旦触发，脚本会尝试读取用户本地设备上的关键敏感文件，包括但不限于SSH密钥目录（~/.ssh/）、命令行历史记录（~/.zsh_history, ~/.bash_history）以及Git凭证文件（~/.git-credentials）等。这些被窃取的信息可能已被上报至攻击者控制的恶意域名。值得注意的是，Apifox私有化部署版本不受此次事件影响。

此次事件暴露了软件开发工具链（SDLC）中第三方依赖或资源被劫持的典型供应链风险。攻击者选择在Cloudflare这类主流服务上托管恶意域名，增加了隐蔽性。尽管恶意域名已失效且现场难以复现，但长达近三周的潜伏期意味着大量开发者工作站可能已暴露。Apifox方面表示正在联合安全团队进行深度溯源，但事件凸显了企业对客户端软件，尤其是依赖外部网络资源的桌面应用，进行持续安全监控的紧迫性。所有在风险期内使用过Apifox SaaS桌面客户端的用户应立即检查相关敏感文件，并考虑更新凭证。