在分析 Apifox 客户端投毒事件时，有几个关键点一直没完全想明白，想请教一下大家。 
背景
参考这篇分析： 

Apifox 桌面端启动时会加载： 
https://cdn.apifox.com/.../apifox-app-event-tracking.min.js

正常情况下文件大约 34KB，但在部分时间、部分地区、部分网络环境下，会返回约 77KB 的异常版本。这个异常 JS 会继续加载 apifox.it.com 等非官方域名的代码。 
另外查了一下 DNS： 
cdn.apifox.com → CNAME → qiniudns.com（七牛云 CDN）


我目前最困惑的是
这个 CDN 上的 JS 文件，到底是“真的被改了”，还是“请求过程中被替换了”？ 
1. 如果问题出在 CDN 上
假设问题是在 CDN 层： 
那是不是意味着 CDN 节点上的这个 JS 被替换了...