Palo Alto Networks 已确认它受到供应链攻击的影响,导致其 Salesforce 实例中的客户数据被盗。
此次泄露源自受感染的第三方应用程序 Salesloft 的 Drift,并未影响 Palo Alto Networks 自己的任何产品或服务,该公司表示这些产品或服务仍然安全。
这家网络安全公司宣布,在得知这一事件后,它立即断开了该供应商与其 Salesforce 环境的连接,并启动了由其 Unit 42 安全团队领导的全面调查。
公开的数据主要包括业务联系信息、内部销售帐户详细信息和基本客户案例数据。Palo Alto Networks 表示,它正在联系“有限数量的客户”,这些客户可能已经暴露了潜在的更敏感的数据。
广泛的数据盗窃活动发生在 2025 年 8 月 8 日至 8 月 18 日期间。谷歌威胁情报小组追踪到的威胁行为者UNC6395利用与 Salesloft Drift 集成相关的受损 OAuth 身份验证令牌来获得未经授权的访问并从企业 Salesforce 环境中窃取大量数据。
源自受损的 Salesloft Drift 应用程序的供应链攻击影响了其他主要科技公司,包括网络安全公司 Zscaler 和谷歌。
根据 Unit 42 的威胁简报,攻击者从 Salesforce 对象(包括客户、联系人、案例和机会记录)中进行了大规模泄露。
主要动机似乎是收集凭证;窃取数据后,黑客主动扫描数据,以查找密码和其他云服务(例如 Amazon Web Services (AWS) 和 Snowflake)的访问密钥等机密,以促进进一步的攻击。
调查人员指出,该行为者使用自动化 Python 工具进行数据盗窃,并试图通过删除查询日志来掩盖他们的踪迹。
这一事件引发了广泛的行业反应。8 月 20 日,Salesloft 开始通知受影响的客户,并与 Salesforce 合作,撤销了 Drift 应用程序的所有活动访问令牌以切断连接。
Salesforce 还暂时从其 AppExchange 市场中删除了 Drift 应用程序。谷歌随后的分析显示,此次泄露的范围比最初认为的要广泛,可能会损害连接到 Drift 平台的所有身份验证令牌,而不仅仅是那些与 Salesforce 集成的令牌。
Palo Alto Networks 的 Unit 42 敦促所有使用 Salesloft Drift 集成的组织紧急采取行动。建议包括对 Salesforce 日志进行彻底审查是否存在可疑活动,特别是与攻击者工具关联的用户代理字符串 (),并立即轮换可能已存储在受感染数据中的任何凭据或机密。Python/3.11 aiohttp/3.12.15
安全团队还警告受影响的组织对后续的社会工程尝试保持警惕,并通过零信任原则加强安全性。
Salesloft 漂移供应链攻击
2025 年 8 月,一场广泛的数据盗窃活动滥用了与 Salesloft 的 Drift 应用程序相关的受损 OAuth 代币,该应用程序是一种流行的人工智能聊天机器人和客户参与工具。在 8 月 8 日至 8 月 18 日期间,谷歌追踪到UNC6395的威胁行为者利用这些令牌未经授权访问数百个组织的 Salesforce 环境。
主要动机是凭证收集。攻击者从 Salesforce 对象(包括客户帐户、联系人和销售机会)中大规模泄露数据,然后扫描被盗信息以查找有价值的机密,例如 AWS 访问密钥、密码和 Snowflake 令牌,以促进更深层次的网络入侵。
此次供应链攻击的确认受害者包括:
- Palo Alto Networks:这家网络安全公司证实了其 CRM 平台的业务联系信息和内部销售数据的泄露。
- Zscaler:云安全公司报告说,客户信息(包括姓名、联系方式和一些支持案例内容)被访问。
- 谷歌:除了作为调查员之外,谷歌还证实其“极少数”的 Workspace 帐户是通过受损的令牌访问的。
作为回应,Salesloft 和 Salesforce 合作撤销了所有有效的 Drift 集成令牌,并从 Salesforce AppExchange 中暂时删除了该应用程序以遏制威胁。
“ShinyHunters”Salesforce 社会工程活动
与 Salesloft 事件并行的是一场更广泛、正在进行的活动,该活动归因于一个名为“ShinyHunters”(或 UNC6040)的组织。自 2025 年年中以来,该组织已通过使用复杂的语音网络钓鱼或“网络钓鱼”策略成功入侵了众多大公司。
在这些攻击中,威胁行为者在电话中冒充 IT 支持人员,诱骗员工授予他们访问公司 Salesforce 实例的权限,通常是让员工授权恶意的 Salesforce“连接应用程序”。
这种社会工程活动已经造成了一长串受害者,包括:
- 谷歌:2025 年 6 月,该小组访问了一个包含潜在 Google Ads 客户信息的 Salesforce 系统。
- 主要品牌:LVMH(路易威登、迪奥)、香奈儿和阿迪达斯等奢侈品和零售巨头成为目标。
- 金融和保险:包括安联人寿、农民保险以及最近的环联在内的公司都报告了与该活动相关的违规行为,环联事件影响了 440 万美国消费者
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
