Apifox SaaS版桌面客户端遭供应链攻击，敏感文件或已泄露

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击者通过一个托管在Cloudflare上的恶意域名，在长达18天（2026年3月4日至22日）的窗口期内，对使用该客户端的用户构成了潜在威胁。官方已发布通告，确认私有化部署版本不受影响，但在此期间使用公网SaaS版客户端的用户，其设备上的敏感信息存在泄露风险。

根据官方通告及安全分析，被植入的恶意脚本具有概率性触发的特征。一旦触发，该脚本会尝试读取用户本地设备上的高敏感文件，包括SSH密钥目录（~/.ssh/）、命令行历史记录（如~/.zsh_history、~/.bash_history）以及Git凭证文件（~/.git-credentials）等。这些被窃取的数据可能已被上报至攻击者控制的恶意域名（apifox[.]it.com）。目前该域名已无法访问，恶意行为已停止，现场难以复现。

此次事件将Apifox及其庞大的开发者用户群置于安全聚光灯下。攻击者选择在软件供应链环节——客户端动态加载的脚本——下手，手法隐蔽且针对性明确，旨在窃取开发者的核心身份凭证与访问密钥。对于受影响用户而言，泄露的SSH密钥和Git凭证可能直接危及代码仓库、服务器等关键基础设施的安全。Apifox方面表示正联合安全团队进行深度溯源，但事件已对用户信任及SaaS服务商的安全保障能力构成严峻考验。所有在风险期内使用过该客户端的用户需立即排查并更新相关凭证。