Salesloft Drift网络攻击事件溯源:GitHub账户失陷与OAuth令牌窃取

供应链攻击波及700余家企业

一起影响超过700家组织(包括多家知名网络安全公司)的复杂供应链攻击事件,现已溯源至Salesloft公司GitHub账户在2025年3月遭到的入侵。2025年9月6日的最新通报显示,网络安全公司Mandiant调查确认,攻击者利用这一初始访问权限,最终从其Drift聊天平台窃取了OAuth认证令牌,导致客户系统数据大规模泄露。

调查发现,威胁行为者在2025年3月至6月期间持续访问Salesloft的GitHub账户。在此期间,攻击者不仅下载了私有代码库内容、添加了访客用户并建立了工作流,还对Salesloft和Drift应用环境进行了全面侦察。

OAuth令牌失窃引发连锁反应

虽然Salesloft平台本身未被攻破,但攻击者通过横向移动进入了Drift的AWS环境,成功获取了用于客户技术集成的OAuth令牌。被谷歌威胁情报小组标记为UNC6395的威胁组织,在8月8日至18日期间利用这些被盗令牌访问并窃取了客户集成应用(主要是Salesforce实例)中的数据。

失窃数据主要包括商业联系信息(如姓名、电子邮箱和职位)以及支持案例内容。受影响的知名企业包括Cloudflare、Zscaler、Palo Alto Networks、PagerDuty和SpyCloud等。该事件被认为是近期规模最大的SaaS供应链攻击之一,凸显了第三方应用集成的安全风险。

应急响应与处置措施

事件发生后,Salesloft立即启动应急响应,聘请Mandiant协助处置。公司采取了包括完全下线Drift平台、隔离基础设施、轮换所有受影响凭证等果断措施。Mandiant确认攻击已被遏制,Salesloft与Drift环境之间的技术隔离有效阻止了攻击者的横向移动。

目前调查重点已转向取证质量审查阶段。Salesloft向合作伙伴发布安全指南,建议所有通过API密钥与Drift集成的第三方应用主动撤销现有密钥。公司还公布了入侵指标(IOCs)清单,包括恶意IP地址和用户代理字符串,以帮助客户排查可疑活动。

已确认的恶意入侵指标

指标类型 数值/描述
恶意IP地址 任何来自非Drift官方白名单IP的成功认证连接均应视为可疑。以下为确认的恶意IP:• 154.41.95.2• 176.65.149.100• 179.43.159.198• 185.130.47.58• 185.207.107.130• 185.220.101.133• 185.220.101.143• 185.220.101.164• 185.220.101.167• 185.220.101.169• 185.220.101.180• 185.220.101.185• 185.220.101.33• 192.42.116.179• 192.42.116.20• 194.15.36.117• 195.47.238.178• 195.47.238.83• 208.68.36.90• 44.215.108.109
恶意用户代理字符串 以下用户代理字符串与威胁活动关联:•python-requests/2.32.4Salesforce-Multi-Org-Fetcher/1.0Python/3.11 aiohttp/3.12.15

尽管有自称"Scattered LAPSUS$ Hunters 4.0"的组织宣称对事件负责,但调查人员尚未发现可信证据支持这一说法。

相关推荐
星光不问赶路人9 小时前
彻底清理 Git 分支:从查看到批量删除无效分支的全流程指南
git·github
卓豪终端管理10 小时前
安全事件实时预警:构筑企业终端安全的“智能防线”
网络·安全·web安全
挨踢攻城10 小时前
网络安全 | 如何防御勒索软件?
安全·web安全·网络安全·php·厦门微思网络·防疫勒索软件
JohnYan11 小时前
安全密钥(Security Key)和认证技术相关词汇表
后端·安全·设计模式
逛逛GitHub13 小时前
推荐 4 个实用、好玩儿的 GitHub 开源项目。
github
海云安13 小时前
海云安入选安全牛《企业级AI大模型落地实战技术应用指南(2025版)》优秀案例
人工智能·安全
SelectDB13 小时前
Apache Doris 与 ClickHouse:运维与开源闭源对比
大数据·数据分析·github
国科安芯13 小时前
ASP3605A电源芯片在高速ADC子卡中的适配性研究
网络·人工智能·单片机·嵌入式硬件·安全
Wang's Blog14 小时前
Linux小课堂: SSH 免密登录原理与实现之基于公钥认证的安全连接机制
linux·安全·ssh
学编程的小程14 小时前
从被动防御到主动防护:雷池WAF+cpolar的安全实践
安全