慢霧：Apifox桌面客戶端遭供應鏈攻擊，惡意代碼可竊取憑證並遠程執行命令

攻擊詳情

根據慢霧科技2026年3月25日發佈的報告，Apifox桌面客戶端遭到了供應鏈攻擊，攻擊者利用Electron框架的安全配置缺陷，篡改了其官方CDN託管的前端腳本文件，並注入了高度混淆的惡意JavaScript代碼。

惡意行為

該惡意代碼偽裝成統計埋點，潛伏於Apifox客戶端中，具備以下行為：

• 竊取用戶敏感信息，包括SSH密鑰、Git憑證及Shell歷史記錄。
• 連接C2（命令與控制）服務器，實現遠程命令執行。
• 自動執行，且具備高度隱蔽性，難以被用戶察覺。

受影響用戶建議

慢霧建議受影響用戶立即採取以下措施以降低風險：

• 撤銷所有Token，重置密碼。
• 退出並重新登錄，以使當前會話失效。
• 阻止*.apifox.it.com域名。
• 清除本地存儲中的敏感數據。
• 審查API日誌及異常活動，以確認是否存在被竊取或異常操作。

來源：https://www.panewslab.com/zh/articles/019d288b-beb0-7139-a173-d17b332e892d