首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
JoeJoeJoe
71.45D
V2EX  ›  信息安全

此次 ApiFox 是否中招自查命令

  •  4      
  •   JoeJoeJoe ·
    PRO
    · 19 小时 17 分钟前 · 4051 次点击

    Mac:

    grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb

    Windows:

    Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

    Linux:

    grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/

    以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.

    如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查

    Mac:

    sudo dscacheutil -q host -a name apifox.it.com

    Linux, Windows 请 V 友们补充.

    为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉

    127.0.0.1 apifox.it.com

    以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.

    第 1 条附言  ·  11 小时 10 分钟前
    v 友 @yghack 搞了一个检测脚本: https://github.com/espoir1989/apifox_ioc_check
  • apifox
  • 命令
  • 敏感信息
    57 条回复    2026-03-28 00:37:38 +08:00
    liu731
        1
    liu731  
    PRO
       19 小时 13 分钟前
    name: apifox.it.com
    ip_address: 198.18.9.132

    中招了,不过已经换了 ssh key + 各种 export=ai key 。
    mrhuhehe
        2
    mrhuhehe  
       19 小时 5 分钟前
    Mac ,上面命令没输出但下面有解析记录,如何判断
    JoeJoeJoe
        3
    JoeJoeJoe  
    OP
    PRO
       19 小时 0 分钟前
    @liu731 这次真的是涨见识了, 幸亏最近没用 apifox, 要不也得中招. 以后这种事肯定更多, 所以密钥啥的都得换个方式存储了

    @mrhuhehe 如果不是你主动访问的 apifox[.]it[.]com, 那就说明你下了投毒之后的 js 文件了, 没扫出文件来可能是还没来得及干活? 等个 V 友解释一下, 以上是我猜测的.
    suitts
        4
    suitts  
       19 小时 0 分钟前
    @liu731 你这是 fake ip 吧
    ersic
        5
    ersic  
       18 小时 52 分钟前
    apifox\Local Storage\leveldb\000095.ldb
    完了,真麻烦
    licoycn
        6
    licoycn  
       18 小时 34 分钟前
    密钥使用 ed25519 ,应该没啥问题吧
    JoeJoeJoe
        7
    JoeJoeJoe  
    OP
    PRO
       18 小时 31 分钟前
    @ersic 早处理能省点麻烦, 主要是爆出来的时间太晚了, 要不影响不了这么多用户.

    @licoycn 啊? 密钥泄露了还需要区分算法吗? 虽然但是, 还是不要有侥幸心理.
    rich1e
        8
    rich1e  
       18 小时 30 分钟前
    op 帮忙看看


    前段时间,一直在用 apifox ,结合 mcp ,用的嘎嘎爽。
    昨天就看到消息了,没放心上,发现会影响 ssh ,心慌。
    licoycn
        9
    licoycn  
       18 小时 28 分钟前
    @JoeJoeJoe 就是是设置了 passphrase 的,用的 ed25519 算法,就算拿走了私钥,没有我的密钥,这个私钥他也用不了呀
    JoeJoeJoe
        10
    JoeJoeJoe  
    OP
    PRO
       18 小时 19 分钟前 via iPhone
    @licoycn 那应该问题不大
    @rich1e 你这跟 2 楼一样 像是没拉了污染的 js 但是没抓数据还
    rich1e
        11
    rich1e  
       17 小时 56 分钟前
    @JoeJoeJoe #10

    感谢。

    只使用过 web 端,没有下载 apifox 的客户端。

    https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
    Smileh
        12
    Smileh  
       17 小时 56 分钟前
    还好我用的 apipost
    RayJiang9
        13
    RayJiang9  
       17 小时 55 分钟前
    昨天发现中招了,把 ssh 改成用 Bitwarden 管理一劳永逸
    JoeJoeJoe
        14
    JoeJoeJoe  
    OP
    PRO
       17 小时 50 分钟前   ❤️ 1
    @rich1e #11 那没事应该

    @Smileh 这次 apifox 事件可能仅仅是个开始

    @RayJiang9 现在厂商的安全已经不值得信任了, AI 安全防护估计会成为新的赛道
    windorz
        15
    windorz  
       17 小时 48 分钟前
    ✅ 未发现泄露迹象:
    - SSH 私钥最后访问:2026-01-21.
    已经卸载了.
    xwh201314
        16
    xwh201314  
       17 小时 48 分钟前
    只有文件
    C:\Users\admin\AppData\Roaming\apifox\Local Storage\leveldb\000207.ldb
    算中招吗
    JoeJoeJoe
        17
    JoeJoeJoe  
    OP
    PRO
       17 小时 47 分钟前
    @windorz 我昨天看到的时候也立马卸载了, 家里有台老电脑还装着, 但是很久没开了, 等有空也给处理一下得
    JoeJoeJoe
        18
    JoeJoeJoe  
    OP
    PRO
       17 小时 46 分钟前
    @xwh201314 这个就算泄漏了已经, 更新下敏感信息吧
    PrtScScrLk
        19
    PrtScScrLk  
       17 小时 45 分钟前
    @JoeJoeJoe #14 是,这次真的危机感很重了,不过刚想了下自己好像也没什么数字资产。哈哈哈给自己逗乐了。这次真的只是个开始,现在准备着手重装一下自己手上的主机,ssh key 已经全部清空轮换了。唉,有种自己家被人随意进出的感觉。真难受啊。昨天都没睡好觉。降本增笑的事情这几年越来越多了。
    czhen
        20
    czhen  
       17 小时 45 分钟前
    个人电脑有什么好的防护措施吗? 也搞白名单?
    PrtScScrLk
        21
    PrtScScrLk  
       17 小时 44 分钟前
    @windorz 我一个平台,很久没用了,登录上去看到最近一次 ssh key 使用 3.7 ,人麻了。= =还好看了一下是很多过时的内容,应该不会怎么样。
    JoeJoeJoe
        22
    JoeJoeJoe  
    OP
    PRO
       17 小时 39 分钟前
    @PrtScScrLk #21 哈哈哈哈 仔细检查一下, 别侥幸. 其实黑客也会筛选目标, 普通用户没啥太大的价值, 只能当个肉鸡跳板啥的.

    @czhen AI 的安全防护目前应该是空白, 坐等安全厂商吧.
    willxiang
        23
    willxiang  
       17 小时 32 分钟前
    PS C:\Windows\system32> Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path

    Path
    ----
    C:\Users\AppData\Roaming\apifox\Local Storage\leveldb\000250.ldb


    这表明已经中招了?
    JoeJoeJoe
        24
    JoeJoeJoe  
    OP
    PRO
       17 小时 31 分钟前
    @willxiang 是的, 更新敏感信息吧.
    lp4298707
        25
    lp4298707  
       14 小时 40 分钟前
    不知道为啥,我连 apifox 这个目录都没有
    JoeJoeJoe
        26
    JoeJoeJoe  
    OP
    PRO
       14 小时 29 分钟前 via iPhone
    @lp4298707 是不是已经卸载了 这个目录只有装客户端才有
    shuiduoduo
        27
    shuiduoduo  
       14 小时 16 分钟前
    是整个系统的文件都泄露了吗
    yghack
        28
    yghack  
       14 小时 7 分钟前
    检测脚本: https://github.com/espoir1989/apifox_ioc_check
    JoeJoeJoe
        29
    JoeJoeJoe  
    OP
    PRO
       14 小时 7 分钟前
    @shuiduoduo 敏感信息吧, "SSH 私钥、Git 凭证和命令行历史" 现在披露的好像是这些
    darksword21
        30
    darksword21  
    PRO
       13 小时 51 分钟前
    @liu731 哥们你这不是 fake ip 吗
    devezio
        31
    devezio  
       13 小时 39 分钟前
    同中招
    /Users/ezio/Library/Application Support/apifox/Local Storage/leveldb/000014.ldb
    我司 gitlab 都是内网的,应该没事吧
    JoeJoeJoe
        32
    JoeJoeJoe  
    OP
    PRO
       13 小时 34 分钟前
    @devezio 别侥幸, 该换换

    @yghack 感谢分享
    cz5424
        33
    cz5424  
       13 小时 9 分钟前
    貌似过年前就删掉了这个软件
    AkaGhost
        34
    AkaGhost  
       12 小时 53 分钟前
    中招了,去轮换 SSH 密钥了
    safdi
        35
    safdi  
       12 小时 52 分钟前
    这个输出是中招了吗?
    JoeJoeJoe
        36
    JoeJoeJoe  
    OP
    PRO
       12 小时 46 分钟前
    @safdi 只要有日志出来应该都算中招.

    @cz5424 我也好久没用了, 主要是当时他们的推广方式有点恶劣, 被恶心到了

    @AkaGhost 😔 以后得注意安全了, 之前都没有过这种感觉, 但是现在感悟很深.
    AkaGhost
        37
    AkaGhost  
       11 小时 30 分钟前
    @JoeJoeJoe #36 唉,轮了三台服务器 SSH 密钥,又吊销了两个 GPG 。还好最重要的 GPG 在 Yubikey 里,有硬件保护,不然就头疼了。
    JoeJoeJoe
        38
    JoeJoeJoe  
    OP
    PRO
       11 小时 28 分钟前
    @AkaGhost #37 心疼一秒钟, 你这也太惨了吧.
    p2007
        39
    p2007  
       11 小时 26 分钟前
    不知道恶意脚本有没有干其他事情
    rlarnsgur
        40
    rlarnsgur  
       11 小时 23 分钟前
    前几天刚把系统升级成 macOS 26 ,并且恢复了出厂设置,apifox 还没来得及安装,看到这个。。。
    JoeJoeJoe
        41
    JoeJoeJoe  
    OP
    PRO
       11 小时 21 分钟前
    @rlarnsgur 可以说是非常幸运了!

    @p2007 好像就是读了这些密钥啥的, 收集之后准备下一波攻击.
    codersdp1
        42
    codersdp1  
       11 小时 12 分钟前
    已经升级到最新版后,再执行 grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
    发现没有输出,这个中招没?
    JoeJoeJoe
        43
    JoeJoeJoe  
    OP
    PRO
       11 小时 11 分钟前
    @codersdp1 应该是没有, 可以再走下 sudo dscacheutil -q host -a name apifox.it.com 这个看看
    codersdp1
        44
    codersdp1  
       11 小时 9 分钟前
    @willxiang 哥们,你是升级后测试的吗
    lp4298707
        45
    lp4298707  
       11 小时 4 分钟前
    @JoeJoeJoe #26 没有卸载,我是 macOs 我估计是更新之后他自动把这个文件删了? 我看 dns 解析记录也没有 it.com 那个域名
    codersdp1
        46
    codersdp1  
       11 小时 3 分钟前
    @JoeJoeJoe #43 我把 apifox.it.com 配置到 host 了,现在只能查到
    ❯ sudo dscacheutil -q host -a name apifox.it.com
    Password:
    name: apifox.it.com
    ip_address: 127.0.0.1
    JoeJoeJoe
        47
    JoeJoeJoe  
    OP
    PRO
       11 小时 1 分钟前
    @lp4298707 #45 那可能没啥问题, dns 那个读的是缓存, 不一定准.

    本身他这个就是满足条件触发好像, 需要先筛选一下目标再进行攻击.
    JoeJoeJoe
        48
    JoeJoeJoe  
    OP
    PRO
       11 小时 0 分钟前
    @codersdp1 #46 哈哈哈哈 应该没啥事.

    还有一种查看的方法好像是看 github 的敏感信息日志: https://github.com/settings/security-log

    如果被操作了, 会留痕.
    codersdp1
        49
    codersdp1  
       10 小时 59 分钟前
    @JoeJoeJoe #48 这个我看了是干净的。
    JoeJoeJoe
        50
    JoeJoeJoe  
    OP
    PRO
       10 小时 57 分钟前
    @codersdp1 #49 没事 要是有啥影响大的敏感信息的话, 还是操作一下, 要是没有的话, 影响也没那么大, 哈哈哈哈.
    wwwwjack
        51
    wwwwjack  
       10 小时 34 分钟前
    当时还跟公司强烈推荐过这个玩意, 还好最终没采用 想象真阔怕
    coderzhangsan
        52
    coderzhangsan  
       10 小时 33 分钟前
    windows 已中招,昨天就卸载 apifox 了,万幸的是 github 一直没登录过,在本地没有密钥,git 密钥放在其他目录下,没有在.ssh 目录下,查看 gitlab 日志没有非法的日志记录,不过出于安全考虑,依然换了 git 密钥,想咨询下 OP ,window 下 shell 软件会话配置会被窃取吗?个人用的 securecrt ,远程服务器有跳板机,使用的是密码,没有使用密钥。
    JoeJoeJoe
        53
    JoeJoeJoe  
    OP
    PRO
       10 小时 28 分钟前   ❤️ 1
    @coderzhangsan 好像是会获取历史命令, 但是只针对的是 zsh, windows 应该没问题


    @wwwwjack 我也推荐过, 现在想想后怕!
    willxiang
        54
    willxiang  
       10 小时 9 分钟前
    @codersdp1 #44
    没升级之前测的,我把远端仓库上配的 sshkey 都删了,后续都走 http
    C64NRD
        55
    C64NRD  
       7 小时 24 分钟前
    一直没开过 apifox ,dns 历史竟然有记录?
    JoeJoeJoe
        56
    JoeJoeJoe  
    OP
    PRO
       6 小时 1 分钟前 via iPhone
    @C64NRD 有可能是 web 版本的
    IceRovah
        57
    IceRovah  
       3 小时 42 分钟前
    我把之前的帖子喂给 codex ,让它帮我查的,中招了。
    现在 apifox 卸载了,密钥全换,新的密钥也都加上密码了。
    查 github security log ,暂没发现异常,还有公司的阿里云仓库,我看不到日志,不过至少没有奇奇怪怪的提交记录。

    不过话说回来,idea 插件直接导出到 apifox 真心方便,不知道有没有平替。
    现在努力适应 bruno 中。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   918 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 20:20 · PVG 04:20 · LAX 13:20 · JFK 16:20
    ♥ Do have faith in what you're doing.