Apifox供应链投毒事件分析报告

【事件背景】

Apifox是国内广泛使用的API一体化协作平台，其桌面端基于Electron框架开发，支持Windows、macOS、Linux三平台。因客户端未严格启用sandbox参数并暴露了Node.js原生API接口，攻击者得以通过植入恶意JavaScript代码完整控制用户终端——三个平台均受影响。

【处置建议】

满足以下任一条件，即可基本确认受影响：

1.时间与版本：在2026年3月4日至3月22日期间，曾启动过Apifox公网SaaS版桌面客户端（版本低于2.8.19）。

2.本机存储排查（Windows）：

Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

3.本机存储排查（macOS）：

grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

4.网络侧排查：检查防火墙/代理/DNS日志中是否出现对apifox[.]it[.]com、13.192.121.27的出站访问记录，或/public/apifox-event.js、/event/0/log等特征路径请求。

5.客户端存储（开发者工具）：在Apifox桌面端打开开发者工具（Ctrl+Shift+I / Cmd+Option+I），在Application → Local Storage中检查是否存在_rl_mc、_rl_headers键，若_rl_headers中出现af_uuid、af_user等字段则高度相关。

清除感染:

1.立即升级Apifox客户端至2.8.19或以上版本（官网下载最新正式版，覆盖安装）。

2.在防火墙、企业DNS或本机hosts中封锁已知恶意域名及IP：apifox[.]it[.]com、cdn[.]openroute[.]dev、upgrade[.]feishu[.]it[.]com、13.192.121.27。

3.清除Apifox本地缓存数据，包括Local Storage中的_rl_mc和_rl_headers键，以消除机器指纹留存。

【IOC】

apifox[.]it[.]com

13.192.121[.]27

hxxps://apifox[.]it[.]com/public/apifox-event.js

hxxps://apifox[.]it[.]com/event/0/log

hxxps://apifox[.]it[.]com/event/2/log

hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js

cdn[.]openroute[.]dev

upgrade[.]feishu[.]it[.]com