【深信服-紧急事件通告一】
Apifox供应链投毒事件分析报告
【事件背景】
Apifox是国内广泛使用的API一体化协作平台,其桌面端基于Electron框架开发,支持Windows、macOS、Linux三平台。因客户端未严格启用sandbox参数并暴露了Node.js原生API接口,
攻击者得以通过植入恶意JavaScript代码完全控制用户终端——三个平台均受影响。
【处置建议】
满足以下任一条件,即可基本确认受影响:
1.时间与版本:在2026年3月4日至3月22日期间,曾启动过Apifox公网SaaS版桌面客户端(版本低于2.8.19)。
2.本机存储排查(Windows):
Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path
3.本机存储排查(macOS):
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
4.网络侧排查:检查防火墙/代理/DNS日志中是否出现对apifox[.]it[.]com、13.192.121.27的出站访问记录,或/public/apifox-event.js、/event/0/log等特征路径请求。
5.客户端存储(开发者工具):在Apifox桌面端打开开发者工具(Ctrl+Shift+I / Cmd+Option+I),在Application → Local Storage中检查是否存在_rl_mc、_rl_headers键,
若_rl_headers中出现af_uuid、af_user等字段则高度相关。
清除感染:
1.立即升级Apifox客户端至2.8.19或以上版本(官网下载最新正式版,覆盖安装)。
2.在防火墙、企业DNS或本机hosts中封锁已知恶意域名及IP:apifox[.]it[.]com、cdn[.]openroute[.]dev、upgrade[.]feishu[.]it[.]com、13.192.121.27。
3.清除Apifox本地缓存数据,包括Local Storage中的_rl_mc和_rl_headers键,以消除机器指纹留存。
【IOC】
apifox[.]it[.]com
13.192.121[.]27
hxxps://apifox[.]it[.]com/public/apifox-event.js
hxxps://apifox[.]it[.]com/event/0/log
hxxps://apifox[.]it[.]com/event/2/log
hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js
cdn[.]openroute[.]dev
upgrade[.]feishu[.]it[.]com
Apifox供应链投毒事件分析报告.pdf
【深信服-紧急事件通告二】
关于LiteLLM供应链投毒安全事件分析
【事件介绍】
近期,深信服千里目安全技术中心监测到开源AI API网关LiteLLM在PyPI发布的1.82.7和1.82.8版本被植入恶意代码,时间约为2026年3月24日18:40。攻击者利用Python .pth
文件在解释器启动阶段自动执行的机制,使恶意载荷无需显式导入LiteLLM即可运行,从而收集并外传敏感信息。LiteLLM官方已在GitHub Issue #24512和#24518(研究员
isfinne最先发布)中确认该事件属于供应链投毒攻击。
【处置建议】
一旦确认安装过受影响版本,应立即隔离相关主机网络连接,防止敏感数据继续外传;随后卸载恶意版本、删除残留文件并恢复到已知安全版本,同时对主机中使用的各类凭
证进行更换,特别是LLM API Keys、SSH密钥对、云平台访问密钥等。公开样本未显示面向Windows的专门窃密配置,因此以下命令仅适用于Linux环境:
pip uninstall litellm -y
find "$(python3 -c 'import site; print(site.getsitepackages()[0])')" -name "litellm_init.pth" -delete 2>/dev/null
rm -rf ~/.config/sysmon/
rm -f /tmp/.pg_state /tmp/pglog
pip cache purge
pip install litellm==1.82.6
关于LiteLLM供应链投毒安全事件分析.pdf
当前位置: