Mac:
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb Windows:
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path Linux:
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/ 以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.
如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查
Mac:
sudo dscacheutil -q host -a name apifox.it.com Linux, Windows 请 V 友们补充.
为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉
127.0.0.1 apifox.it.com 以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.
第 1 条附言 3 月 27 日
v 友 @yghack 搞了一个检测脚本: https://github.com/espoir1989/apifox_ioc_check
 | 1 liu731 PRO |
 | 2 mrhuhehe 3 月 27 日 Mac ,上面命令没输出但下面有解析记录,如何判断 |
 | 3 JoeJoeJoe OP PRO |
 | 5 ersic 3 月 27 日 apifox\Local Storage\leveldb\000095.ldb 完了,真麻烦 |
 | 6 licoycn 3 月 27 日 密钥使用 ed25519 ,应该没啥问题吧 |
| 7 JoeJoeJoe OP PRO |
 | 8 rich1e 3 月 27 日 op 帮忙看看   前段时间,一直在用 apifox ,结合 mcp ,用的嘎嘎爽。 昨天就看到消息了,没放心上,发现会影响 ssh ,心慌。 |
| 11 rich1e 3 月 27 日 @JoeJoeJoe #10 感谢。 只使用过 web 端,没有下载 apifox 的客户端。 https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/ |
 | 12 Smileh 3 月 27 日 还好我用的 apipost |
 | 13 RayJiang9 3 月 27 日 昨天发现中招了,把 ssh 改成用 Bitwarden 管理一劳永逸 |
| 14 JoeJoeJoe OP PRO  1 |
 | 15 windorz 3 月 27 日 未发现泄露迹象: - SSH 私钥最后访问:2026-01-21. 已经卸载了. |
 | 16 xwh201314 3 月 27 日 只有文件 C:\Users\admin\AppData\Roaming\apifox\Local Storage\leveldb\000207.ldb 算中招吗 |
 | 19 PrtScScrLk 3 月 27 日 @JoeJoeJoe #14 是,这次真的危机感很重了,不过刚想了下自己好像也没什么数字资产。哈哈哈给自己逗乐了。这次真的只是个开始,现在准备着手重装一下自己手上的主机,ssh key 已经全部清空轮换了。唉,有种自己家被人随意进出的感觉。真难受啊。昨天都没睡好觉。降本增笑的事情这几年越来越多了。 |
 | 20 czhen 3 月 27 日 个人电脑有什么好的防护措施吗? 也搞白名单? |
| 21 PrtScScrLk 3 月 27 日 @windorz 我一个平台,很久没用了,登录上去看到最近一次 ssh key 使用 3.7 ,人麻了。= =还好看了一下是很多过时的内容,应该不会怎么样。 |
| 22 JoeJoeJoe OP PRO @PrtScScrLk #21 哈哈哈哈 仔细检查一下, 别侥幸. 其实黑客也会筛选目标, 普通用户没啥太大的价值, 只能当个肉鸡跳板啥的. @czhen AI 的安全防护目前应该是空白, 坐等安全厂商吧. |
 | 23 willxiang 3 月 27 日 PS C:\Windows\system32> Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path Path ---- C:\Users\AppData\Roaming\apifox\Local Storage\leveldb\000250.ldb 这表明已经中招了?  |
 | 25 BetterJason 3 月 27 日 不知道为啥,我连 apifox 这个目录都没有 |
 | 27 shuiduoduo 3 月 27 日 是整个系统的文件都泄露了吗 |
 | 28 yghack 3 月 27 日 |
| 29 JoeJoeJoe OP PRO @shuiduoduo 敏感信息吧, "SSH 私钥、Git 凭证和命令行历史" 现在披露的好像是这些 |
 | 30 darksword21 PRO @liu731 哥们你这不是 fake ip 吗 |
 | 31 devezio 3 月 27 日 同中招 /Users/ezio/Library/Application Support/apifox/Local Storage/leveldb/000014.ldb 我司 gitlab 都是内网的,应该没事吧 |
 | 33 cz5424 3 月 27 日 貌似过年前就删掉了这个软件 |
 | 34 AkaGhost 3 月 27 日 中招了,去轮换 SSH 密钥了 |
 | 35 safdi 3 月 27 日  这个输出是中招了吗? |
| 36 JoeJoeJoe OP PRO |
| 37 AkaGhost 3 月 27 日 @JoeJoeJoe #36 唉,轮了三台服务器 SSH 密钥,又吊销了两个 GPG 。还好最重要的 GPG 在 Yubikey 里,有硬件保护,不然就头疼了。 |
 | 39 p2007 3 月 27 日 不知道恶意脚本有没有干其他事情 |
 | 40 rlarnsgur 3 月 27 日 前几天刚把系统升级成 macOS 26 ,并且恢复了出厂设置,apifox 还没来得及安装,看到这个。。。 |
 | 42 codersdp1 3 月 27 日 已经升级到最新版后,再执行 grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb 发现没有输出,这个中招没? |
| 43 JoeJoeJoe OP PRO @codersdp1 应该是没有, 可以再走下 sudo dscacheutil -q host -a name apifox.it.com 这个看看 |
| 45 BetterJason 3 月 27 日 |
| 46 codersdp1 3 月 27 日 @JoeJoeJoe #43 我把 apifox.it.com 配置到 host 了,现在只能查到 sudo dscacheutil -q host -a name apifox.it.com Password: name: apifox.it.com ip_address: 127.0.0.1 |
| 47 JoeJoeJoe OP PRO |
| 48 JoeJoeJoe OP PRO @codersdp1 #46 哈哈哈哈 应该没啥事. 还有一种查看的方法好像是看 github 的敏感信息日志: https://github.com/settings/security-log 如果被操作了, 会留痕. |
 | 51 wwwwjack 3 月 27 日 当时还跟公司强烈推荐过这个玩意, 还好最终没采用 想象真阔怕 |
 | 52 coderzhangsan 3 月 27 日 windows 已中招,昨天就卸载 apifox 了,万幸的是 github 一直没登录过,在本地没有密钥,git 密钥放在其他目录下,没有在.ssh 目录下,查看 gitlab 日志没有非法的日志记录,不过出于安全考虑,依然换了 git 密钥,想咨询下 OP ,window 下 shell 软件会话配置会被窃取吗?个人用的 securecrt ,远程服务器有跳板机,使用的是密码,没有使用密钥。 |
| 53 JoeJoeJoe OP PRO 1 |
 | 55 C64NRD 3 月 27 日 一直没开过 apifox ,dns 历史竟然有记录? |
 | 57 IceRovah 3 月 28 日 我把之前的帖子喂给 codex ,让它帮我查的,中招了。 现在 apifox 卸载了,密钥全换,新的密钥也都加上密码了。 查 github security log ,暂没发现异常,还有公司的阿里云仓库,我看不到日志,不过至少没有奇奇怪怪的提交记录。 不过话说回来,idea 插件直接导出到 apifox 真心方便,不知道有没有平替。 现在努力适应 bruno 中。 |
 | 58 q534 23 天前 @PrtScScrLk 重要的 key 加 passphrase ,其他的随他去吧 |
| 59 PrtScScrLk 23 天前 @q534 好的大佬,我现在都加了。就是每次做点用到 key 的操作就要输入密码,没有以前那般舒爽了。 |
| 60 q534 23 天前 @PrtScScrLk 每次输会面对输入监听,也是风险的一种。可以考虑:1 设置 config 让密码保持一段时间,如 1 小时,这样每天集中连服务器的时间体验要好一些。而且读其他进程的内存也没那么容易(所以这次攻击者其实读取的都是~下的纯文本) 2 mac 的话,用 keychain ,更方便 |
| 61 PrtScScrLk 23 天前 @q534 keepass 写入 ssh-agent ,这种方式安全的吧? |
Select Language