Mac:
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb Windows:
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path Linux:
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb/ 以上命令只要有输出记录, 则表明可能中招, 请务必更换清理敏感信息, 包括不限于: SSH 私钥、Git 凭证和命令行历史.
如果已经卸载掉了, 可以使用检查 dns 历史中是否存在 apifox.it.com 的解析记录来检查
Mac:
sudo dscacheutil -q host -a name apifox.it.com Linux, Windows 请 V 友们补充.
为了防止后续这个域名再被激活, 以及有其他的后门程序, 可以在/etc/hosts 里将这个域名给阻断掉
127.0.0.1 apifox.it.com 以上, 是我在其他帖子或信息中总结的, Mac 端的命令验证好用, 其他端请 V 友验证.
第 1 条附言 13 小时 57 分钟前
v 友 @yghack 搞了一个检测脚本: https://github.com/espoir1989/apifox_ioc_check
 | 1 liu731 PRO |
 | 2 mrhuhehe/strong> 21 小时 52 分钟前 Mac ,上面命令没输出但下面有解析记录,如何判断 |
 | 3 JoeJoeJoe OP PRO |
 | 5 ersic 21 小时 39 分钟前 apifox\Local Storage\leveldb\000095.ldb 完了,真麻烦 |
 | 6 licoycn 21 小时 21 分钟前 密钥使用 ed25519 ,应该没啥问题吧 |
| 7 JoeJoeJoe OP PRO |
 | 8 rich1e 21 小时 17 分钟前 op 帮忙看看   前段时间,一直在用 apifox ,结合 mcp ,用的嘎嘎爽。 昨天就看到消息了,没放心上,发现会影响 ssh ,心慌。 |
| 11 rich1e 20 小时 43 分钟前 @JoeJoeJoe #10 感谢。 只使用过 web 端,没有下载 apifox 的客户端。 https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/ |
 | 12 Smileh 20 小时 43 分钟前 还好我用的 apipost |
 | 13 RayJiang9 20 小时 42 分钟前 昨天发现中招了,把 ssh 改成用 Bitwarden 管理一劳永逸 |
| 14 JoeJoeJoe OP PRO  1 |
 | 15 windorz 20 小时 35 分钟前 未发现泄露迹象: - SSH 私钥最后访问:2026-01-21. 已经卸载了. |
 | 16 xwh201314 20 小时 34 分钟前 只有文件 C:\Users\admin\AppData\Roaming\apifo\Local Storage\leveldb\000207.ldb 算中招吗 |
 | 19 PrtScScrLk 20 小时 32 分钟前 @JoeJoeJoe #14 是,这次真的危机感很重了,不过刚想了下自己好像也没什么数字资产。哈哈哈给自己逗乐了。这次真的只是个开始,现在准备着手重装一下自己手上的主机,ssh key 已经全部清空轮换了。唉,有种自己家被人随意进出的感觉。真难受啊。昨天都没睡好觉。降本增笑的事情这几年越来越多了。 |
 | 20 czhen 20 小时 32 分钟前 个人电脑有什么好的防护措施吗? 也搞白名单? |
| 21 PrtScScrLk 20 小时 31 分钟前 @windorz 我一个平台,很久没用了,登录上去看到最近一次 ssh key 使用 3.7 ,人麻了。= =还好看了一下是很多过时的内容,应该不会怎么样。 |
| 22 JoeJoeJoe OP PRO @PrtScScrLk #21 哈哈哈哈 仔细检查一下, 别侥幸. 其实黑客也会筛选目标, 普通用户没啥太大的价值, 只能当个肉鸡跳板啥的. @czhen AI 的安全防护目前应该是空白, 坐等安全厂商吧. |
 | 23 willxiang 20 小时 18 分钟前 PS C:\Windows\system32> Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path Path ---- C:\Users\AppData\Roaming\apifox\Local Storage\leveldb\000250.ldb 这表明已经中招了?  |
 | 25 lp4298707 17 小时 26 分钟前 不知道为啥,我连 apifox 这个目录都没有 |
 | 27 shuiduoduo 17 小时 3 分钟前 是整个系统的文件都泄露了吗 |
 | 28 yghack 16 小时 54 分钟前 |
| 29 JoeJoeJoe OP PRO @shuiduoduo 敏感信息吧, "SSH 私钥、Git 凭证和命令行历史" 现在披露的好像是这些 |
 | 30 darksword21 PRO @liu731 哥们你这不是 fake ip 吗 |
 | 31 devezio 16 小时 26 分钟前 同中招 /Users/ezio/Library/Application Support/apifox/Local Storage/leveldb/000014.ldb 我司 gitlab 都是内网的,应该没事吧 |
 | 33 cz5424 15 小时 56 分钟前 貌似过年前就删掉了这个软件 |
 | 34 AkaGhost 15 小时 40 分钟前 中招了,去轮换 SSH 密钥了 |
 | 35 safdi 15 小时 39 分钟前  这个输出是中招了吗? |
| 36 JoeJoeJoe OP PRO |
| 37 AkaGhost 14 小时 17 分钟前 @JoeJoeJoe #36 唉,轮了三台服务器 SSH 密钥,又吊销了两个 GPG 。还好最重要的 GPG 在 Yubikey 里,有硬件保护,不然就头疼了。 |
 | 39 p2007 14 小时 13 分钟前 不知道恶意脚本有没有干其他事情 |
 | 40 rlarnsgur 14 小时 10 分钟前 前几天刚把系统升级成 macOS 26 ,并且恢复了出厂设置,apifox 还没来得及安装,看到这个。。。 |
 | 42 codersdp1 13 小时 59 分钟前 已经升级到最新版后,再执行 grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb 发现没有输出,这个中招没? |
| 43 JoeJoeJoe OP PRO @codersdp1 应该是没有, 可以再走下 sudo dscacheutil -q host -a name apifox.it.com 这个看看 |
| 45 lp4298707 13 小时 51 分钟前 |
| 46 codersdp1 13 小时 50 分钟前 @JoeJoeJoe #43 我把 apifox.it.com 配置到 host 了,现在只能查到 sudo dscacheutil -q host -a name apifox.it.com Password: name: apifox.it.com ip_address: 127.0.0.1 |
| 47 JoeJoeJoe OP PRO |
| 48 JoeJoeJoe OP PRO @codersdp1 #46 哈哈哈哈 应该没啥事. 还有一种查看的方法好像是看 github 的敏感信息日志: https://github.com/settings/security-log 如果被操作了, 会留痕. |
 | 51 wwwwjack 13 小时 21 分钟前 当时还跟公司强烈推荐过这个玩意, 还好最终没采用 想象真阔怕 |
 | 52 coderzhangsan 13 小时 20 分钟前 windows 已中招,昨天就卸载 apifox 了,万幸的是 github 一直没登录过,在本地没有密钥,git 密钥放在其他目录下,没有在.ssh 目录下,查看 gitlab 日志没有非法的日志记录,不过出于安全考虑依然换了 git 密钥,想咨询下 OP ,window 下 shell 软件会话配置会被窃取吗?个人用的 securecrt ,远程服务器有跳板机,使用的是密码,没有使用密钥。 |
| 53 JoeJoeJoe OP PRO 1 |
 | 55 C64NRD 10 小时 11 分钟前 一直没开过 apifox ,dns 历史竟然有记录? |
 | 57 IceRovah 6 小时 29 分钟前 我把之前的帖子喂给 codex ,让它帮我查的,中招了。 现在 apifox 卸载了,密钥全换,新的密钥也都加上密码了。 查 github security log ,暂没发现异常,还有公司的阿里云仓库,我看不到日志,不过至少没有奇奇怪怪的提交记录。 不过话说回来,idea 插件直接导出到 apifox 真心方便,不知道有没有平替。 现在努力适应 bruno 中。 |
Select Language 创意工作者们的社区 World is powered by solitude