Salesloft Drift网络攻击事件溯源:GitHub账户失陷与OAuth令牌窃取

供应链攻击波及700余家企业

一起影响超过700家组织(包括多家知名网络安全公司)的复杂供应链攻击事件,现已溯源至Salesloft公司GitHub账户在2025年3月遭到的入侵。2025年9月6日的最新通报显示,网络安全公司Mandiant调查确认,攻击者利用这一初始访问权限,最终从其Drift聊天平台窃取了OAuth认证令牌,导致客户系统数据大规模泄露。

调查发现,威胁行为者在2025年3月至6月期间持续访问Salesloft的GitHub账户。在此期间,攻击者不仅下载了私有代码库内容、添加了访客用户并建立了工作流,还对Salesloft和Drift应用环境进行了全面侦察。

OAuth令牌失窃引发连锁反应

虽然Salesloft平台本身未被攻破,但攻击者通过横向移动进入了Drift的AWS环境,成功获取了用于客户技术集成的OAuth令牌。被谷歌威胁情报小组标记为UNC6395的威胁组织,在8月8日至18日期间利用这些被盗令牌访问并窃取了客户集成应用(主要是Salesforce实例)中的数据。

失窃数据主要包括商业联系信息(如姓名、电子邮箱和职位)以及支持案例内容。受影响的知名企业包括Cloudflare、Zscaler、Palo Alto Networks、PagerDuty和SpyCloud等。该事件被认为是近期规模最大的SaaS供应链攻击之一,凸显了第三方应用集成的安全风险。

应急响应与处置措施

事件发生后,Salesloft立即启动应急响应,聘请Mandiant协助处置。公司采取了包括完全下线Drift平台、隔离基础设施、轮换所有受影响凭证等果断措施。Mandiant确认攻击已被遏制,Salesloft与Drift环境之间的技术隔离有效阻止了攻击者的横向移动。

目前调查重点已转向取证质量审查阶段。Salesloft向合作伙伴发布安全指南,建议所有通过API密钥与Drift集成的第三方应用主动撤销现有密钥。公司还公布了入侵指标(IOCs)清单,包括恶意IP地址和用户代理字符串,以帮助客户排查可疑活动。

已确认的恶意入侵指标

指标类型 数值/描述
恶意IP地址 任何来自非Drift官方白名单IP的成功认证连接均应视为可疑。以下为确认的恶意IP:• 154.41.95.2• 176.65.149.100• 179.43.159.198• 185.130.47.58• 185.207.107.130• 185.220.101.133• 185.220.101.143• 185.220.101.164• 185.220.101.167• 185.220.101.169• 185.220.101.180• 185.220.101.185• 185.220.101.33• 192.42.116.179• 192.42.116.20• 194.15.36.117• 195.47.238.178• 195.47.238.83• 208.68.36.90• 44.215.108.109
恶意用户代理字符串 以下用户代理字符串与威胁活动关联:•python-requests/2.32.4Salesforce-Multi-Org-Fetcher/1.0Python/3.11 aiohttp/3.12.15

尽管有自称"Scattered LAPSUS$ Hunters 4.0"的组织宣称对事件负责,但调查人员尚未发现可信证据支持这一说法。

相关推荐
QYR-分析7 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud7 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
JerrySir11 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳11 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd18557855512 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳12 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
JavaGuide13 小时前
一个神级 PR Review Agent 诞生了:读 diff、写总结、找风险全自动!
github·ai编程
qetfw14 小时前
CentOS 7 配置 iptables 防火墙
安全
磐链科技14 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
逛逛GitHub14 小时前
1.3 万人点赞的 GitHub 项目,让 AI Agent 操作 Office 文件。
github