供应链攻击波及700余家企业
一起影响超过700家组织(包括多家知名网络安全公司)的复杂供应链攻击事件,现已溯源至Salesloft公司GitHub账户在2025年3月遭到的入侵。2025年9月6日的最新通报显示,网络安全公司Mandiant调查确认,攻击者利用这一初始访问权限,最终从其Drift聊天平台窃取了OAuth认证令牌,导致客户系统数据大规模泄露。
调查发现,威胁行为者在2025年3月至6月期间持续访问Salesloft的GitHub账户。在此期间,攻击者不仅下载了私有代码库内容、添加了访客用户并建立了工作流,还对Salesloft和Drift应用环境进行了全面侦察。
OAuth令牌失窃引发连锁反应
虽然Salesloft平台本身未被攻破,但攻击者通过横向移动进入了Drift的AWS环境,成功获取了用于客户技术集成的OAuth令牌。被谷歌威胁情报小组标记为UNC6395的威胁组织,在8月8日至18日期间利用这些被盗令牌访问并窃取了客户集成应用(主要是Salesforce实例)中的数据。
失窃数据主要包括商业联系信息(如姓名、电子邮箱和职位)以及支持案例内容。受影响的知名企业包括Cloudflare、Zscaler、Palo Alto Networks、PagerDuty和SpyCloud等。该事件被认为是近期规模最大的SaaS供应链攻击之一,凸显了第三方应用集成的安全风险。
应急响应与处置措施
事件发生后,Salesloft立即启动应急响应,聘请Mandiant协助处置。公司采取了包括完全下线Drift平台、隔离基础设施、轮换所有受影响凭证等果断措施。Mandiant确认攻击已被遏制,Salesloft与Drift环境之间的技术隔离有效阻止了攻击者的横向移动。
目前调查重点已转向取证质量审查阶段。Salesloft向合作伙伴发布安全指南,建议所有通过API密钥与Drift集成的第三方应用主动撤销现有密钥。公司还公布了入侵指标(IOCs)清单,包括恶意IP地址和用户代理字符串,以帮助客户排查可疑活动。
已确认的恶意入侵指标
| 指标类型 | 数值/描述 |
|---|---|
| 恶意IP地址 | 任何来自非Drift官方白名单IP的成功认证连接均应视为可疑。以下为确认的恶意IP:• 154.41.95.2• 176.65.149.100• 179.43.159.198• 185.130.47.58• 185.207.107.130• 185.220.101.133• 185.220.101.143• 185.220.101.164• 185.220.101.167• 185.220.101.169• 185.220.101.180• 185.220.101.185• 185.220.101.33• 192.42.116.179• 192.42.116.20• 194.15.36.117• 195.47.238.178• 195.47.238.83• 208.68.36.90• 44.215.108.109 |
| 恶意用户代理字符串 | 以下用户代理字符串与威胁活动关联:•python-requests/2.32.4•Salesforce-Multi-Org-Fetcher/1.0•Python/3.11 aiohttp/3.12.15 |
尽管有自称"Scattered LAPSUS$ Hunters 4.0"的组织宣称对事件负责,但调查人员尚未发现可信证据支持这一说法。