网络安全公司受 Klue 供应链攻击影响

网络安全公司 Huntress 和 Recorded Future 披露了一起供应链攻击的影响，该攻击针对的是市场情报平台 Klue。

攻击始于 6 月 11 日，影响了与软件平台集成相关的系统。黑客连接到 Klue 的后端服务器并执行了未授权命令，推送了一个代码更新以窃取客户 Klue 集成的 OAuth 令牌。

Klue 于 6 月 12 日将事件通知了客户，警告称其已停用所有客户的 OAuth 令牌，并禁用了与 Salesforce、HubSpot、SharePoint、Zoom、Gong、Chorus、Clari、Google Drive 和 Slack 的集成。

据 ReliaQuest 称，黑客滥用了 Salesforce REST API，在 24 小时内窃取了大量客户关系管理（CRM）数据，“包括在 15 分钟内集中爆发了近千次查询，以及持续超过 6 小时的持续数据提取窗口”。

6 月 17 日，Salesforce 禁用了 Klue Battlecards 应用集成，警告称其“检测到涉及该应用的异常活动，可能已通过该应用与 Salesforce 的连接导致部分客户数据被未授权访问”。

周四，Huntress 和 Recorded Future 均确认他们是受此供应链攻击影响的公司之一。

Huntress 表示：“从我们 Salesforce 账户中被复制的数据包括业务联系人、报价单以及其他销售相关数据和消息。没有威胁数据、密码、支付卡信息或与 Huntress agent 或我们收集的遥测数据相关的工程数据受到影响。”

Recorded Future 指出：“虽然我们的调查仍在进行中，但我们认为影响仅限于存储在 Salesforce 数据库中的业务数据字段，例如客户联系人姓名和电子邮件地址。某些业务合同信息也可能被包含在受影响的数据中。”

该事件仅限于 Klue 与 Salesforce 的集成，攻击者并未访问这两家网络安全公司拥有或维护的任何系统。

Huntress 指出，还有其他几家网络安全公司使用 Klue，但似乎没有其他公司公开披露受到该攻击的影响。

此次攻击遵循了之前在 Salesforce、Salesloft Drift 和 Gainsight 事件中观察到的相同模式，这些事件被归因于 ShinyHunters 和 UNC6395，但此次攻击似乎是由一个新的威胁行为者发起的。

Huntress 表示收到了来自自称“Mr Brean”的威胁行为者的勒索通信，该通信指向一个与 Icarus 关联的 Session Messenger ID。Icarus 是一个于 2026 年 4 月出现的勒索组织。

Icarus 的泄露站点有一条 5 月初的条目，据称从受害者处窃取的数据已被公布（尽管已不再可访问），以及另一条 6 月 16 日的条目，指向从 Salesforce 窃取的数据。

Huntress 表示：“凭借这些匹配的数据点，我们高度确信 Icarus 行为者应对 Klue 入侵和此次供应链攻击负责。”

尽管 Klue 已向其客户分享了攻击细节，但并未就此事件发表公开声明。SecurityWeek 已向该公司发送电子邮件寻求声明，如有回复将更新本文。