风险描述
根据 Apifox 官方公告,近期,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在2026年3月4日至2026年3月22日期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。
攻击者使用的 C2恶意域名(apifox.it.com)当时托管在 Cloudflare,存活18天。目前该域名已无法访问,没有持续发生恶意行为,目前无法复现现场。但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/、~/.zsh_history、~/.bash_history、~/.git-credentials 等),可能会上报到该恶意域名。
Apifox 已提供修复方案,建议您尽快将 Apifox 升级至2.8.19及以上版本,并轮换相关敏感凭据。
iOA 产品解决方案
软件识别管控
梳理安装了 Apifox 的终端
1. iOA 支持终端软件识别与资产盘点能力,腾讯 iOA 可自动扫描企业现网终端的软件安装情况,在软件运维 > 软件清单 页,可查看已安装 Apifox 的 PC 清单及对应版本信息,帮助安全管理人员快速掌握风险暴露面。
设置禁止 Apifox 运行
1. iOA 支持终端软件运行管控,在软件管控 > 运行管控 > 策略设置 页,单击新建策略,对于还未升级修复的终端可设置禁止终端上的 Apifox 运行,避免风险扩散。
2. 禁止运行管控软件详细配置示例:
远程卸载 Apifox
1. iOA 支持终端软件安装管控,对于存在风险的终端可以通过 iOA 控制台软件运维 > 软件清单 页,对其 Apifox 软件进行卸载。
2. 单击详情,卸载 Apifox 软件。
终端安全防护
全盘查杀
1. iOA 病毒查杀 支持快速查杀,单击快速查杀,可对全网终端下发全盘扫描任务,自动隔离病毒文件。
C2外联拦截
威胁告警排查
1. EDR 威胁告警,攻击详情筛选“apifox.it.com”,排查相关告警信息。
2. 解析恶意域名行为(常规供应链攻击)详细示例:
威胁狩猎
1. 通过 EDR 威胁狩猎,选择筛选条件网络事件 > 目标信息 > 域名 > 包含 apifox.it.com;或者执行以下查询命令,查看有无历史访问 IOC 的连接记录。
"SELECT * FROM NetworkEvents WHERE Child.Host = 'apifox.it.com' ORDER BY Common.EventTime DESC"
2. 查询结果示例:
