2026年3月4日至3月22日，Apifox公网SaaS版桌面客户端遭遇了供应链投毒，攻击者恶意篡改官方CDN上的JavaScript文件，用户终端的敏感凭证存在被非法获取的风险。

与传统恶意软件不同，这次攻击并不依赖诱导下载或钓鱼，而是直接发生在用户正常使用软件的过程中，这也使得它具有更强的隐蔽性与更大的影响范围。

事件回顾：一次典型的供应链投毒

做技术的大概率都听说过Apifox，它是一款用于API设计、开发、测试与协作的一站式平台，是很多研发团队的常用工具。

本次事件的核心，在于官方资源被篡改。

攻击者并未修改客户端安装包，而是将恶意代码注入到了Apifox官方CDN提供的JavaScript文件中。Apifox桌面客户端在运行过程中会动态加载该JS文件，从而在用户无感知的情况下执行恶意代码。

恶意代码会尝试收集终端中的SSH私钥、Git凭证、Shell历史记录等敏感信息，并通过网络发送到攻击者控制的服务器。它还能够接收远程指令，从而进一步控制受感染终端。

没有额外下载，也没有异常提示，一切都发生在“正常操作”之中。 

根据官方公告，本次事件的影响时间窗口为：2026年3月4日至2026年3月22日。在这一时间段内，使用过公网SaaS版Apifox桌面客户端的终端，均存在被攻击的风险。

▶官方公告：关于 Apifox 公网 SaaS 版外部 JS 文件受篡改的风险提示与升级公告

目前已确认的关键IOC包括：

• • C2 域名：apifox.it.com
• • C2 IP：13.192.121.27
• • 关联域名：cdn.openroute.dev、feishu.it.com、toshinkyo.or.jp等

这类攻击有什么影响？

相比常规的数据泄露事件，这类供应链攻击的风险更大、影响更深。

很多安全事件是“丢数据”，但这类供应链攻击，更像是“丢钥匙”。

比如这次被读取的SSH私钥、Git凭证等，本质上是访问控制凭据。一旦凭证泄露，攻击者可以进一步登录服务器，访问代码仓库，进入容器与集群系统，影响整个研发和生产体系。

更现实的问题是，整个过程，用户几乎没有感知。

这次的攻击行为高度隐蔽，没有明显的异常提示、也没有显著的性能变化，这也导致很多受影响用户在较长时间内无法察觉。

行为可以隐蔽，但通信总会留下痕迹

那么，如何判断自己的机器有没有中招呢？

其实，网络流量提供了答案。

终端侧可能已经被控制，日志可能被清理，行为也可能被隐藏。

但这次攻击过程中总有一个绕不过去的环节：数据需要被传出，控制需要通过网络完成。

也就是说，网络通信本身很难彻底掩盖。 

Panalog Ultra：基于网络侧的事件溯源

这次事件其实可以用一个直截了当的思路来排查：

基于已知的IOC和时间范围，在网络流量中追踪可疑通信。

在这种场景下，像Panalog Ultra这样的全量会话分析能力，就会变得非常直接有效。

通过Panalog Ultra，可以查询风险时间窗口（2026年3月4日至2026年3月22日期间），相关IOC的访问记录。

查询到结果后，可以进一步分析相关会话，结合时间线与通信特征，交叉分析判断哪些终端“很可能已经中招”。

当然，如果不想这么费事的话，也可以通过Panalog Ultra内置的AI智能体LogBot，自动完成分析与排查，更快锁定可疑终端。

▶了解LogBot：网络流量分析有自己的“龙虾”了

找出可疑的异常终端后，就可以对这些终端进行有针对性的深度排查，直到最终消除隐患。

结语

Apifox事件并不是孤例。近期，包括LiteLLM在内的多个组件也相继暴露出供应链风险。

供应链攻击最可怕的地方在于，你没有做错任何事，只是“正常使用”，但攻击已经发生。

当攻击发生，终端侧难以完全察觉时，网络侧的可见性与溯源能力，正在成为安全团队最后可靠的防线。