2025年,全球知名客户关系管理和销售自动化平台Salesloft经历了一次严重的数据安全事件,其关联的Drift应用因GitHub账户被攻击者入侵,导致至少22家公司暴露在供应链攻击的阴影之下。这起事件再次警示业界,GitHub等代码管理平台的安全性直接关系到整个应用生态的安全,任何环节的薄弱都可能引发灾难性后果。Salesloft和Drift事件的深度调查揭示出攻击者如何通过持续数月的隐蔽行动,逐步渗透企业技术架构,从账号权限入手,获取关键凭证,最终实现对客户数据的访问。这不仅是一场针对单一应用的入侵,更是一场跨供应链、多系统集成的复杂安全危机。Mandiant作为谷歌旗下的领先安全响应团队,通过细致的取证与分析确认,攻击集团UNC6395从2025年3月至6月间多次访问了Salesloft的GitHub账户。尽管具体入侵手段尚未完全披露,但足以证明攻击者对软件开发生命周期的深耕与利用能力。
通过泄露的代码仓库下载内容,增加受控用户账号,并创建自动化工作流程,攻击者搭建了隐蔽的持续攻击渠道。伴随着对Salesloft和Drift应用环境的侦察行动,歹徒最终突破应用边界,成功侵入Drift的亚马逊云服务环境(AWS),并窃取了OAuth授权令牌。这些令牌是第三方技术集成的关键凭证,使得攻击者能够通过API接口访问与Drift连接的客户数据,加剧了数据泄露的严重性。针对此次事件,Salesloft及时采取了多项应急措施,包括将Drift的基础设施隔离并下线,全面更换账号和密钥,以及强化环境的权限分割与访问控制。此外,官方建议所有与Drift通过API建立连接的第三方应用立即废止现有的API密钥,防止令牌滥用进一步扩大影响。作为与Salesloft合作的重要合作伙伴,Salesforce在事件发生后第一时间暂停了相关集成,并于2025年9月7日恢复了Salesloft平台的连接,仅保留Drift应用的禁用状态,以确保整体系统安全持续受控。
这一举措体现出大型云服务商在应对供应链安全事件时从严防御与阶段性恢复的谨慎策略。这次GitHub账户遭入侵引发的供应链安全漏洞,凸显出现代软件开发与运营环境中代码管理工具安全的极端重要性。开发者常依赖于云端仓库存储和共享代码,然而一旦管理权限被突破,攻击者即可窃取敏感配置、植入恶意代码或劫持自动化流程,从而危及整个软件生态链。企业必须重视GitHub和类似平台的账户安全策略,包括实现多因素认证、限定访问权限、持续审计访问记录以及采用零信任架构等先进防护措施。同时,供应链攻击的复杂性提醒安全团队加强跨部门协作,确保开发、安全和运维的有效联动。这样不仅能及时发现异常行为,还可以快速响应并封堵攻击路径。
API集成环境同样处于高风险区,尤其涉及多个第三方工具连接时,令牌管理和权限控制需要更加细粒度化和动态化。企业要建立严格的密钥轮换制度和访问白名单机制,配合实时监控和威胁情报共享,以最大限度降低攻击面。此次事故影响的22家公司涵盖多个行业,显示出供应链安全事件的波及广度与复杂度。这些企业不仅面临客户数据泄露的风险,还可能遭遇声誉损失及合规压力,凸显预防和危机管理的必要性。随着科技环境不断变化,供应链安全事件预计将呈现持续增长趋势。企业领导层应将安全纳入商业战略核心,投资现代化安全工具,强化员工安全意识培训,并推动行业合作建立起更强的安全防御生态。
GitHub账户被攻破导致的Salesloft Drift事件,是对全球软件供应链安全环境的一次警钟,提醒所有依赖云服务和第三方集成的软件企业必须高度警惕并采取主动防御。唯有构筑起坚实的代码管理和访问控制防线,才能有效保障企业数字资产安全,维系客户信任,推动业务健康可持续发展。 。
