GoForum › 🌐 V2EX
Apifox 供应链攻击应急响应工具
cooper ·
2026-03-26 12:34 ·
0 次点赞 · 0 条回复
Apifox 遭受供应链攻击 https://v2ex.com/t/1201146
早上自己检查了一下,顺便搞了一个自动扫描工具。
背景
2026 年 3 月 25 日,Apifox 官方确认其公网 SaaS 版桌面客户端遭受供应链攻击。客户端动态加载的一个外部 JavaScript 文件被恶意篡改。
- 风险时间窗口: 2026 年 3 月 4 日 至 2026 年 3 月 22 日
- 受影响范围: 仅公网 SaaS 版桌面客户端( Web 版和私有化部署版不受影响)
- C2 恶意域名:
apifox.it.com(托管在 Cloudflare ,存活 18 天,目前已下线) - 可能泄露的数据:
~/.ssh/、~/.zsh_history、~/.bash_history、~/.git-credentials - 官方公告: https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig
本工具自动扫描系统状态,引导你完成凭证轮换:
| 模块 | 功能 |
|---|---|
| 0 - 取证确认 | 检查 LevelDB 恶意标记、验证 Apifox 版本、在 /etc/hosts 中屏蔽 C2 域名 |
| 1 - 终止进程 | 终止运行中的 Apifox 进程 |
| 2 - SSH 密钥 | 扫描、备份、轮换 SSH 私钥,并提示对应平台 |
| 3 - Shell History | 清理 zsh/bash/fish 历史记录中的敏感 token |
| 4 - GitHub Token | 轮换 GitHub CLI 认证 |
| 5 - K8s 凭证 | 备份 kubeconfig 以便重新颁发 |
| 6 - Docker 凭证 | 登出所有已配置的 Docker Registry |
| 7 - macOS 钥匙串 | 检查与 apifox 相关的钥匙串条目(仅 macOS ) |
| 8 - .env 扫描 | 在常见开发目录中查找 .env 、.key 、.pem 文件 |
| 9 - 审计 | 引导检查异常活动( GitHub 安全日志、git 历史、K8s 事件) |
重要提示: 本工具仅备份和轮换凭证,不会删除任何原始文件——操作前始终会先创建备份。
可以先执行 --dry-run 预览
支持平台
- macOS (Intel / Apple Silicon)
- Linux (Debian/Ubuntu, RHEL/CentOS, Arch)
0 条回复
添加回复
你还需要 登录
后发表回复