震惊！Apifox 供应链“投毒”事件深度解析：你的 SSH 密钥安全吗？

前言：当"LLM 漏洞"遇上"供应链投毒"

最近，技术圈被一个关于 Apifox 的"LLM 漏洞"传闻刷屏了。同事们纷纷表示震惊，甚至有点"不明觉厉"。但经过一番深入调查，我们发现这并非单纯的 LLM 漏洞，而是一起更隐蔽、更危险的供应链投毒事件！它直接威胁到了我们开发者的"命根子"------SSH 密钥和 Git 凭证。

别慌，作为一名"安全课代表"，我将用大白话为您揭开这起事件的真面目，并提供一份 MacBook 专属的"避雷"指南，手把手教你自查和加固！

什么是"供应链投毒"？Apifox 到底发生了什么？

想象一下，我们每天使用的 Apifox 桌面端，就像一个精心组装的乐高玩具。它由无数个小零件（代码库、第三方组件、CDN 托管的 JS 文件）构成。而"供应链投毒"，就像有人悄悄地把其中一个关键小零件换成了"定时炸弹"！

事件回顾：

在 2026 年 3 月 4 日至 3 月 22 日期间，Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件（通常用于统计或追踪）被恶意攻击者篡改了。这个被"投毒"的 JS 文件，一旦被我们的 Apifox 客户端加载，就会在后台静默执行恶意代码。

核心危害：

这个恶意脚本的主要目标是窃取我们本地设备上的高敏感文件，包括但不限于：

• ~/.ssh/ 目录下的 SSH 私钥（这可是你连接 GitHub、GitLab、服务器的"身份证"！一旦泄露，后果不堪设想）。
• ~/.git-credentials (Git 凭证，可能包含你的用户名和密码)。
• ~/.zsh_history、~/.bash_history (命令行历史记录，可能包含敏感命令或信息)。

更可怕的是，攻击者使用了 apifox.it.com 这样一个极具迷惑性的域名作为 C2（命令与控制）服务器，将窃取到的信息上传。而且，恶意脚本具有概率性触发和**"用完即焚"**的特性，这使得检测和溯源变得异常困难。

MacBook 用户专属：你的 SSH 密钥安全吗？

别担心，我们有办法自查！以下是结合我们实操经验总结的 MacBook 排查步骤：

1. 清理旧缓存（无论是否感染，都建议执行！）

这是最直接、最有效的"物理隔绝"方法。请在终端执行以下命令，彻底删除 Apifox 的缓存和残留文件：

rm -rf ~/Library/Application\ Support/Apifox
rm -rf ~/Library/Caches/com.apifox.app
rm -rf ~/Library/Saved\ Application\ State/com.apifox.app.savedState

2. 检查 SSH 密钥最后访问时间（核心判断依据）

恶意脚本必须"读取"你的私钥才能窃取它。我们可以通过查看私钥文件的最后访问时间来判断它是否被异常触碰过。请在终端执行：

ls -lu ~/.ssh

如何判断：

• 关注 id_rsa、id_ed25519 等私钥文件 （通常没有 .pub 后缀）。
• 查看 最后访问时间 (Last Accessed) ：如果这些私钥文件在 2026 年 3 月 4 日至 3 月 22 日期间有非你主动操作的访问记录，那么就需要高度警惕！
• 我们的案例：我同事的 MacBook 经过检查，所有私钥文件的最后访问时间都远早于漏洞爆发期，或者与正常 SSH 操作时间吻合，因此可以判断为安全。

3. 辅助排查（可选，但可增加安心度）

• 系统日志 ：虽然我们尝试过 log show --predicate 'eventMessage contains apifox.it.com" --last 7d --info --debug 命令，但由于恶意脚本的隐蔽性和"用完即焚"特性，系统日志中未发现明确的恶意通信记录。这并非坏事，反而说明您的系统可能未直接触发恶意行为。

• DNS 缓存：在较新版本的 macOS 中，直接查看 DNS 缓存的命令可能受限。但如果您的系统日志中没有发现恶意域名通信，通常意味着 DNS 解析也未发生。

总结： 如果您的私钥文件最后访问时间正常，且系统日志中未发现恶意域名通信，那么您的 MacBook 极大概率是安全的！

避坑三板斧：如何保护我们的开发环境？

这次事件再次敲响了警钟：即使是常用的开发工具，也可能成为攻击者的目标。为了避免类似事件再次发生，以下是几点建议：

1. 及时更新软件 ：永远使用最新版本的开发工具。官方通常会第一时间发布安全补丁。Apifox 官方已发布 2.8.19 及以上版本修复此漏洞，并彻底废除了动态加载机制 [1]。
2. 定期更换敏感凭证：尤其是 SSH 密钥、Git 凭证、API Key 等。这次事件后，即使自查安全，也强烈建议更换一次，以防万一。
3. 使用网络监控工具 ：安装如 LuLu (免费开源) 或 Little Snitch (付费) 等防火墙工具，实时监控应用程序的网络连接，阻止可疑行为。
4. 警惕未知来源的插件和脚本：对于任何需要动态加载或执行外部脚本的工具，保持高度警惕。
5. 理解供应链安全：认识到我们使用的每一个第三方库、每一个 CDN 资源，都可能成为攻击链上的一环。保持安全意识，从源头降低风险。

结语

安全无小事，尤其是在开发环境中。希望这篇"避雷"指南能帮助大家更好地理解 Apifox 供应链投毒事件，并采取有效措施保护自己的开发资产。让我们一起构建更安全的开发环境！

---

References

1\] Apifox 团队. (2026, March 25). *关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告* . Apifox Docs. [docs.apifox.com/8392582m0](https://link.juejin.cn?target=https%3A%2F%2Fdocs.apifox.com%2F8392582m0 "https://docs.apifox.com/8392582m0") \[2\] Doonsec. (2026, March 25). *【漏洞预警】LiteLLM 投毒、Apifox 后门连发，敲响供应链安全警钟* . 微信公众号. [mp.weixin.qq.com/s/foeEgdzYW...](https://link.juejin.cn?target=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FfoeEgdzYWGhZKb4DZC9Gfw "https://mp.weixin.qq.com/s/foeEgdzYWGhZKb4DZC9Gfw") \[3\] wy876. (2026, March 26). *每日安全漏洞文章聚合 (最近7天)* . GitHub Pages. [wy876.github.io/SecAlerts/](https://link.juejin.cn?target=https%3A%2F%2Fwy876.github.io%2FSecAlerts%2F "https://wy876.github.io/SecAlerts/")