Salesloft Drift网络攻击事件溯源:GitHub账户失陷与OAuth令牌窃取

供应链攻击波及700余家企业

一起影响超过700家组织(包括多家知名网络安全公司)的复杂供应链攻击事件,现已溯源至Salesloft公司GitHub账户在2025年3月遭到的入侵。2025年9月6日的最新通报显示,网络安全公司Mandiant调查确认,攻击者利用这一初始访问权限,最终从其Drift聊天平台窃取了OAuth认证令牌,导致客户系统数据大规模泄露。

调查发现,威胁行为者在2025年3月至6月期间持续访问Salesloft的GitHub账户。在此期间,攻击者不仅下载了私有代码库内容、添加了访客用户并建立了工作流,还对Salesloft和Drift应用环境进行了全面侦察。

OAuth令牌失窃引发连锁反应

虽然Salesloft平台本身未被攻破,但攻击者通过横向移动进入了Drift的AWS环境,成功获取了用于客户技术集成的OAuth令牌。被谷歌威胁情报小组标记为UNC6395的威胁组织,在8月8日至18日期间利用这些被盗令牌访问并窃取了客户集成应用(主要是Salesforce实例)中的数据。

失窃数据主要包括商业联系信息(如姓名、电子邮箱和职位)以及支持案例内容。受影响的知名企业包括Cloudflare、Zscaler、Palo Alto Networks、PagerDuty和SpyCloud等。该事件被认为是近期规模最大的SaaS供应链攻击之一,凸显了第三方应用集成的安全风险。

应急响应与处置措施

事件发生后,Salesloft立即启动应急响应,聘请Mandiant协助处置。公司采取了包括完全下线Drift平台、隔离基础设施、轮换所有受影响凭证等果断措施。Mandiant确认攻击已被遏制,Salesloft与Drift环境之间的技术隔离有效阻止了攻击者的横向移动。

目前调查重点已转向取证质量审查阶段。Salesloft向合作伙伴发布安全指南,建议所有通过API密钥与Drift集成的第三方应用主动撤销现有密钥。公司还公布了入侵指标(IOCs)清单,包括恶意IP地址和用户代理字符串,以帮助客户排查可疑活动。

已确认的恶意入侵指标

指标类型 数值/描述
恶意IP地址 任何来自非Drift官方白名单IP的成功认证连接均应视为可疑。以下为确认的恶意IP:• 154.41.95.2• 176.65.149.100• 179.43.159.198• 185.130.47.58• 185.207.107.130• 185.220.101.133• 185.220.101.143• 185.220.101.164• 185.220.101.167• 185.220.101.169• 185.220.101.180• 185.220.101.185• 185.220.101.33• 192.42.116.179• 192.42.116.20• 194.15.36.117• 195.47.238.178• 195.47.238.83• 208.68.36.90• 44.215.108.109
恶意用户代理字符串 以下用户代理字符串与威胁活动关联:•python-requests/2.32.4Salesforce-Multi-Org-Fetcher/1.0Python/3.11 aiohttp/3.12.15

尽管有自称"Scattered LAPSUS$ Hunters 4.0"的组织宣称对事件负责,但调查人员尚未发现可信证据支持这一说法。

相关推荐
深盾科技5 小时前
如何读懂Mach-O:构建macOS和iOS应用安全的第一道认知防线
安全·macos·ios
wanhengidc6 小时前
云手机ARM架构都具有哪些挑战
运维·服务器·安全·游戏·智能手机
KKKlucifer7 小时前
Gartner 2025 中国网络安全成熟度曲线深度解读:AI 安全如何重构防御逻辑
人工智能·安全·web安全
FreeBuf_7 小时前
微软警示AI驱动的钓鱼攻击:LLM生成的SVG文件绕过邮件安全检测
人工智能·安全·microsoft
Grassto8 小时前
免费的 CI/CD 服务,了解一下 GitHub Actions ?
ci/cd·github·github actions
DeepHacking8 小时前
GitHub代码推送指南
github
破坏的艺术9 小时前
GitHub Spec Kit:官方规格驱动开发工具包深度解析
github·vibe coding
灵雀云9 小时前
灵雀云六度入选 Gartner 中国 ICT 技术成熟度曲线报告,ACP以安全、稳定、智能三大核心能力定义企业级云原生数字底座
安全·云原生
Bruce_Liuxiaowei9 小时前
Kerberos协议深度解析:工作原理与安全实践
运维·windows·安全·网络安全
RuningPigNO19 小时前
企业在拥抱 Al技术过程中面临安全风险是什么
安全