震驚!Apifox 供應鏈「投毒」事件深度解析:你的 SSH 密鑰安全嗎?
前言:當「LLM 漏洞」遇上「供應鏈投毒」
最近,技術圈被一個關於 Apifox 的「LLM 漏洞」傳聞洗版。大家紛紛表示震驚,甚至有點「不明覺厲」。但經過一番深入調查,我們發現這並非單純的 LLM 漏洞,而是一場更隱蔽、更危險的供應鏈投毒事件!它直接威脅到我們開發者的「命根子」— SSH 密鑰與 Git 憑證。
別慌,作為一名資安代表,我將用白話為你揭開這起事件的真相,並提供一份 MacBook 專屬的「避雷」指南,手把手教你自查與加固!
什麼是「供應鏈投毒」?Apifox 到底發生了什麼?
想像一下,我們每天使用的 Apifox 桌面端,就像一個精心組裝的樂高玩具。它由無數小零件(程式碼庫、第三方元件、由 CDN 托管的 JS 檔案)構成。而「供應鏈投毒」,就像有人悄悄把其中一個關鍵零件換成了「定時炸彈」!
事件回顧:
在 2026 年 3 月 4 日至 3 月 22 日 期間,Apifox 公網 SaaS 版桌面客戶端動態載入的一個外部 JavaScript 檔案(通常用於統計或追蹤)被惡意攻擊者篡改。這個被「投毒」的 JS 檔,一旦被 Apifox 客戶端載入,就會在背景靜默執行惡意程式碼。
核心危害:
這段惡意腳本的主要目標是竊取本機裝置上的高度敏感檔案,包括但不限於:
~/.ssh/目錄下的 SSH 私鑰(這可是你連線 GitHub、GitLab、伺服器的「身份證」!一旦外流,後果不堪設想)。~/.git-credentials(Git 憑證,可能包含你的使用者名稱與密碼)。~/.zsh_history、~/.bash_history(命令列歷史紀錄,可能包含敏感命令或資訊)。
更可怕的是,攻擊者使用了像 apifox.it.com 這樣極具迷惑性的域名作為命令與控制伺服器(C2),將竊取到的資訊上傳。而且,惡意腳本具有機率性觸發與「用完即焚」的特性,這使得偵測與溯源變得異常困難。
MacBook 使用者專屬:你的 SSH 密鑰安全嗎?
別擔心,我們有方法自查!以下是結合實務經驗整理的 MacBook 排查步驟:
1. 清理舊快取(無論是否感染,都建議執行!)
這是最直接、最有效的「物理隔絕」做法。請在終端機執行以下命令,徹底刪除 Apifox 的快取與殘留檔案:
rm -rf ~/Library/Application\ Support/Apifox
rm -rf ~/Library/Caches/com.apifox.app
rm -rf ~/Library/Saved\ Application\ State/com.apifox.app.savedState2. 檢查 SSH 密鑰最後存取時間(核心判斷依據)
惡意腳本必須「讀取」你的私鑰才能竊取它。我們可以透過查看私鑰檔案的最後存取時間來判斷是否被異常讀取。請在終端機執行:
ls -lu ~/.ssh如何判斷:
- 關注
id_rsa、id_ed25519等私鑰檔案(通常沒有.pub副檔名)。 - 查看「最後存取時間」(Last Accessed):如果這些私鑰檔案在 2026 年 3 月 4 日至 3 月 22 日 期間有非你主動操作的存取紀錄,那就要高度警惕!
- 我們的案例:我同事的 MacBook 經檢查後,所有私鑰檔案的最後存取時間都遠早於漏洞爆發期,或與正常 SSH 操作時間吻合,因此可判斷為安全。
3. 輔助排查(可選,但可增加安心度)
-
系統日誌:我們曾嘗試過類似以下的命令搜尋可疑紀錄,但由於惡意腳本的隱蔽性與「用完即焚」特性,系統日誌中未必能找到明確的惡意通訊紀錄:
log show --predicate 'eventMessage contains "apifox.it.com"' --last 7d --info --debug
這並非壞事,反而可能代表你的系統並未直接觸發惡意行為。
- DNS 快取:在較新版的 macOS 中,直接檢視 DNS 快取的命令可能受限。但如果系統日誌中未發現惡意域名通訊,通常表示 DNS 解析也未發生。
總結:如果你的私鑰檔案最後存取時間正常,且系統日誌中未發現惡意域名通訊,那你的 MacBook 極大機率是安全的!
避坑三板斧:如何保護我們的開發環境?
這次事件再次敲響警鐘:即使是常用的開發工具,也可能成為攻擊者的目標。為避免類似事件再次發生,以下是幾點建議:
- 及時更新軟體:務必使用最新版的開發工具。官方通常會優先發布安全補丁。Apifox 官方已發布 2.8.19 及以上版本修補此漏洞,並已徹底廢除動態載入機制 [1]。
- 定期更換敏感憑證:尤其是 SSH 密鑰、Git 憑證、API Key 等。這次事件後,即便自查結果看似安全,仍強烈建議更換一次,以防萬一。
- 使用網路監控工具:安裝如 LuLu(免費開源)或 Little Snitch(付費)等防火牆工具,實時監控應用程式的網路連線,阻斷可疑行為。
- 謹慎處理未知來源的外掛與腳本:對於任何會動態載入或執行外部腳本的工具,保持高度警覺。
- 理解供應鏈安全:認知到我們使用的每一個第三方函式庫、每一個由 CDN 提供的資源,都可能成為攻擊鏈上的一環。從源頭降低風險、保持資安意識。
結語
安全無小事,尤其是在開發環境中。希望這篇「避雷」指南能幫助大家更好地理解 Apifox 供應鏈投毒事件,並採取有效措施保護自己的開發資產。讓我們一起打造更安全的開發環境!
參考資料
[1] Apifox 團隊. (2026, March 25). 關於 Apifox 外部 JS 檔案受篡改的風險提示與升級公告. Apifox Docs. https://docs.apifox.com/8392582m0
[2] Doonsec. (2026, March 25). 【漏洞預警】LiteLLM 投毒、Apifox 後門連發,敲響供應鏈安全警鐘. 微信公眾號. https://mp.weixin.qq.com/s/foeEgdzYWGhZKb4DZC9Gfw
[3] wy876. (2026, March 26). 每日安全漏洞文章聚合 (最近7天). GitHub Pages. https://wy876.github.io/SecAlerts/
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
