Apifox SaaS版桌面客户端遭供应链攻击，敏感文件存在泄露风险

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击窗口期长达18天，从2026年3月4日持续至3月22日。在此期间使用该客户端的用户，其设备上的高敏感文件面临泄露风险。Apifox私有化部署版本不受此次事件影响。

根据官方通告，攻击者控制的恶意C2域名为 `apifox.it.com`，当时托管在Cloudflare上。该恶意脚本具有概率性触发的特征，一旦触发，可能会读取用户本地设备上的敏感文件，包括但不限于 `~/.ssh/` 目录、Shell历史记录文件（如 `~/.zsh_history`、`~/.bash_history`）以及Git凭证文件（`~/.git-credentials`）。读取的数据可能被上报至上述恶意域名。目前该域名已无法访问，恶意行为未持续，现场已无法复现。

此次事件暴露了软件开发工具链（SDLC）中第三方依赖的安全风险。攻击者通过污染客户端依赖的公共资源，实现了对大量终端用户的潜在渗透。Apifox方面表示正在联合安全团队进行深度溯源调查。对于在风险期内使用过SaaS版客户端的开发者和企业，需立即排查本地设备，评估SSH密钥、API令牌、服务器登录凭证等核心资产是否已遭窃取，并采取必要的密钥轮换与访问控制措施。