Apifox SaaS版桌面客户端遭供应链攻击，敏感文件或已泄露

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击窗口期长达18天，从2026年3月4日持续至3月22日。在此期间使用该客户端的用户，其设备上的高敏感文件面临泄露风险。官方已发布通告，但攻击现场目前无法复现，表明攻击具有隐蔽性和时效性。

根据官方通告，攻击者控制的恶意域名 `apifox.it.com` 曾托管于Cloudflare，现已无法访问。被植入的恶意脚本具有概率性触发特征，一旦触发，可能读取用户本地设备上的关键凭证和历史记录，包括 `~/.ssh/` 目录、`~/.zsh_history`、`~/.bash_history` 以及 `~/.git-credentials` 等文件，并可能将这些敏感数据上报至攻击者的服务器。Apifox私有化部署版本不受此次事件影响，凸显了SaaS服务在供应链环节的特定风险。

此次事件将Apifox及其背后的安全响应机制置于聚光灯下。尽管恶意域名已失效，但长达18天的潜伏期意味着大量开发者和企业的核心代码凭证与服务器访问密钥可能已暴露。事件暴露出软件供应链中动态资源加载环节的脆弱性，也为依赖此类API工具进行协作开发的团队敲响了警钟。目前，Apifox方面表示正联合安全团队进行深度溯源，但已泄露数据的实际流向与影响范围仍是未知数，后续可能引发针对特定企业或项目的二次攻击。