近期，监测发现Apifox官方CDN托管的前端JS文件遭受了供应链投毒，恶意脚本被植入经过多重混淆的JavaScript代码，Apifox桌面客户端启动后会自动加载，可窃取用户主机系统信息和SSH密钥、用户凭证等敏感数据，攻击者后续可控制主机执行后门程序实现远程命令执行。Apifox是一款功能强大的API协作开发平台，它主要用于API文档、调试、Mock（模拟）、自动化测试等。

受影响版本为Apifox SaaS版桌面客户端（Windows/macOS/Linux）<=2.8.14，目前Apifox官方已发布新版本修复了此问题，请受影响的用户尽快更新进行防护，下载链接：https://docs.apifox.com/download。

恶意域名如下：

apifox.it.com

*.apifox.it.com

恶意URL如下：

http://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js

http://cdn.apifox.com/www/assets/js/user-tracking.min.js

建议各单位排查本地区本部门本行业相关产品使用情况，阻断恶意域名，参考Apifox官方公告，及时将Apifox桌面客户端升级最新版本修复漏洞，做好网络安全加固，消除风险隐患。