近期围绕 Apifox 的供应链攻击事件，官方终于给出了一份正式安全公告。

根据公告内容，Apifox 公网 SaaS 版桌面客户端在运行过程中动态加载的一个外部 JavaScript 文件遭到恶意篡改，因此形成了供应链攻击风险。公告给出的受影响时间窗口是 2026 年 3 月 4 日至 3 月 22 日，并明确指出私有化版本不受这次事件影响，SaaS Web 版用户也不在这次影响范围内。

从公开截图和公告内容看

Apifox 桌面端被曝遭遇一次供应链投毒。按公开还原分析，问题不在用户自己导入了什么接口文档，而在桌面端加载的一段 CDN 事件统计脚本被篡改；一旦代码在 Electron 环境里跑起来，拿到的就是开发机上的敏感信息。

研究者 phith0n 公开的恶意载荷还原代码显示，这段脚本会先收集设备指纹、系统信息、用户名、主机名，并尝试读取 Apifox 本地登录态，再调用官方用户接口获取账户邮箱和昵称。更危险的是，它还会向远端域名请求加密载荷，解密后直接执行，给后续继续下发恶意代码留了口子。

![Apifox 供应链攻击配图](https://linlog.top/api/uploads/20