近期看到了Apifox的公告《关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告》及相关文章:Apifox 供应链投毒攻击 — 完整技术分析。
感觉问题还是蛮大条的。毕竟可能不仅窃取了各种信息,可能还存在留下了后门之类的情况。
印象中好久没用Apifox了,不过也没卸载,有时候偶尔会用里面的一些功能调试。
简单的自测方式:
打开目录 %APPDATA%\apifox\Network\ , 其中会有个文件Network Persistent State,使用文本编辑器打开,并搜索it.com相关字样。如果存在搜索结果,说明中招了...
理想情况下,肯定是直接重装最好。但是很遗憾,还真没法随意重装,只好先治标再治本了。
反正也不咋用,干脆卸载了。
简单处理方案
卸载
- 使用官方卸载程序卸载,这玩意是个Electron程序,所以自带的卸载程序还是OK的。
- 卸载完的第二天,发现任务管理器里还有个叫做ApifoxAppAgent的进程还在后台跑,主程序都给我卸载了,你还搁那运行,目录也都还在。何意味啊。直接结束进程后将对应目录整个删除。
- 用everything搜索apifox相关字样,基本上是一些遗留的数据目录,删之。
扫描后门
电脑上装着火绒,目前没有发现任何异常行为反馈。也没发现奇怪的日志。
用火绒进行了一次快速查杀和全盘查杀,没发现异常。
不太放心火绒的杀毒能力,又下了腾讯管家和360。分别杀毒了一下,也未发现异常。
扫完就卸载了,好在没啥捆绑套餐。
看到卸载页面还是做阅读理解和花花绿绿的老样子我就放心了...
阻断访问
个人电脑可以修改 C:\Windows\System32\drivers\etc\hosts ,增加以下文本来屏蔽访问恶意域名:
127.0.0.1 apifox.it.com路由器管理、AdGuard Home 或其他支持自定义规则的软件,可以将 apifox.it.com 加入 REJECT 名单或配置 DNS 解析到 127.0.0.1。
更换密钥
看了一下邮箱,暂时没发现异常邮件。
Github等平台也尚未出现异常行为。
好在平时都是用密码管理器,并且能开启2FA的都开启了,应该暂无大碍。
并且重新生成了密钥,然后把GitHub等平台的SSH Key撤销配置新的上去,服务器的authorized_keys也重新配置了。
剩下暂时没想到还有啥了,目前看来暂时没有发生什么问题。唉真是无妄之灾。
后话
没想到这问题居然是从2026年3月4号就发生了,已经持续了这么久。
更没想到这种流行度知名度挺高的工具居然也是草台班子,沙盒随随便便就关了,而且各种有用没用的代码也要远程加载。牛魔的给我好好看看官方文档进程沙盒化 | Electron 和安全 | Electron啊。
而且官方CDN里的文件能被硬加上一段代码来投毒,也是相当的离谱了。某个上游依赖库被投毒遭殃还能理解,这种 CDN 明明是自己控制的,也能被替换上恶意文件,我是想不通,公告里也是轻描淡写一笔带过,呵呵。