近日，国内流行的API协作平台 Apifox 发布公告，称其旧版本客户端加载的 JS 脚本被植入可疑代码，遭遇供应链污染。受影响版本为 2.8.19 以下，用户在3月4日后启动应用时存在触发异常行为的风险。

异常代码通过 CDN 托管的 JS 文件被引入，在应用启动时执行，尝试收集终端敏感信息，包括：

• SSH 私钥

• 命令行历史记录

• Git/GitLab 凭证与 Token

• 主机身份信息（主机名、用户名、MAC 地址等）

收集的数据经加密回传至域名 apifox.it.com。风险行为者可利用获取的凭证登录服务器或代码仓库，实施横向移动，扩大影响范围。

防护思路：边界 + 终端协同

针对此类供应链风险，单一防线难以应对。南凌科技提出「云WAF + EDR」组合方案，通过边界拦截与终端监控的协同联动，帮助企业实现异常行为的精准排查与高效响应。

1. 云WAF：守住网络边界

• 基于威胁情报，实时拦截对可疑域名的访问（如 apifox.it.com）

• 检测 HTTPS 加密流量中的异常上行行为

• 防止敏感数据外传至异常服务器

2. EDR：终端侧精准监控

• 实时监控终端进程行为与敏感文件访问

• 精准识别异常：Apifox 进程调用敏感模块、读取 SSH 私钥、向已知风险域名发起网络连接、批量读取并向外传输数据

• 产生告警并记录完整时间线、进程链、文件路径

• 支持历史行为回溯，快速定位失陷主机，回答失陷范围、异常域名访问记录、敏感文件读取情况、横向移动迹象等关键问题

应急建议

企业客户应关注内部研发终端使用情况，立即排查 Apifox 版本，升级至安全版本，并轮换所有可能泄露的凭证（SSH 密钥、Git Token 等）。如需应急支持，可联系南凌科技安全团队。