安全简讯（2025.09.03）

1. Salesloft Drift遭黑客入侵，Zscaler客户信息外泄

9月1日，网络安全公司Zscaler近日披露，其Salesforce实例因第三方集成工具遭入侵引发数据泄露，客户敏感信息及部分支持案例内容被窃取。事件源于Salesloft Drift被攻击者利用，其OAuth令牌和刷新令牌遭窃，导致未经授权的行为者访问Zscaler的Salesforce环境。泄露数据包括客户姓名、商业邮箱、职位、电话号码、区域信息、产品许可详情及支持案例内容，但Zscaler强调此次事件未波及公司自身产品、服务或基础设施。谷歌威胁情报小组（GTIG）将此次攻击归因于追踪为UNC6395的威胁组织，并指出其目标为获取客户在支持案例中分享的敏感凭证，如AWS访问密钥、密码及Snowflake相关令牌。攻击者通过删除查询作业掩盖痕迹，但日志未受影响，谷歌建议受影响组织审查日志以确认数据暴露情况。进一步调查显示，Salesloft供应链攻击不仅影响Drift与Salesforce的集成，还波及其用于管理邮件回复和CRM数据库的Drift Email功能。攻击者甚至利用窃取的OAuth令牌访问Google Workspace邮箱并读取邮件，促使谷歌与Salesforce暂时禁用Drift集成。

https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/

2. 恶意npm包伪装成邮件库实施加密货币钱包窃取攻击

9月2日，网络安全研究人员近日披露一起针对加密货币用户的供应链攻击事件：恶意npm包"nodejs-smtp"通过冒充知名邮件库Nodemailer，成功将恶意代码注入Atomic、Exodus等主流加密货币钱包的Windows桌面应用，窃取用户交易资金。该软件包由用户"nikotimon"于2025年4月上传至npm注册表，累计下载347次后被下架，目前仍可通过历史版本获取。Socket研究员Kirill Boychenko揭示，该恶意包采用双重伪装策略：表面提供与Nodemailer完全兼容的SMTP邮件功能，实际在导入时利用Electron工具解压钱包应用的app.asar文件，用威胁行为者控制的硬编码钱包地址替换用户收件地址，实现比特币、以太坊、USDT、XRP及Solana等主流加密货币的交易劫持。其攻击流程设计精妙，通过修改桌面应用核心文件实现持久化篡改，重启后仍可生效，同时自动删除工作目录痕迹，大幅降低暴露风险。技术分析显示，nodejs-smtp的攻击代码嵌入在邮件功能实现中，通过Nodemailer兼容接口降低开发者警惕性。当用户在开发环境中导入该包时，其恶意模块会自动检测系统中是否安装Atomic或Exodus钱包，一旦发现即执行解压-替换-打包操作，将合法钱包应用转化为窃取工具。

https://thehackernews.com/2025/09/malicious-npm-package-nodejs-smtp.html

3. Cloudflare在Salesforce供应链攻击中遭遇数据泄露

9月2日，近期，一场以Salesforce平台为目标的供应链攻击引发多起数据泄露事件，Cloudflare成为最新受影响企业。此次攻击链源于威胁行为者通过语音钓鱼（vishing）社会工程手段，诱骗企业员工将恶意OAuth应用关联至公司Salesforce实例，进而窃取数据库。8月9日至17日期间，攻击者首先对Cloudflare的Salesforce实例展开侦察，随后窃取了其内部客户案例管理及支持系统中的文本数据，涉及104个Cloudflare API令牌及大量客户支持工单内容。尽管目前未发现令牌被滥用，但泄露信息包含客户联系资料、配置详情及可能存在的访问凭证等敏感数据，Cloudflare已紧急轮换全部受影响令牌并通知客户，建议轮换通过支持渠道共享的凭据。此次供应链攻击暴露出企业依赖第三方SaaS平台的安全风险。攻击者通过单一平台漏洞即可横向波及数百家客户，窃取的客户支持工单数据（如日志、令牌、密码）可能成为后续针对性攻击的跳板。尽管受影响企业均强调未波及核心系统，但敏感信息泄露仍可能引发客户信任危机及合规风险。

https://www.bleepingcomputer.com/news/security/cloudflare-hit-by-data-breach-in-salesloft-drift-supply-chain-attack/

4. 黑客攻击Evertec巴西子公司Sinqia，试图窃取1.3亿美元

9月2日，拉丁美洲金融科技巨头Evertec的巴西子公司Sinqia S.A.近日遭遇重大网络攻击事件，黑客通过窃取的IT供应商账户凭证，于8月29日非法侵入其负责运营的巴西央行实时支付系统（Pix）环境，试图通过两家金融机构客户发起总额达1.3亿美元的未经授权企业间转账。尽管部分资金已被追回，但具体金额未公开，且事件对Evertec财务及声誉的潜在影响仍被评估为"可能重大"。根据Evertec向美国证券交易委员会（SEC）提交的文件，此次攻击暴露了巴西即时支付系统Pix的安全脆弱性。作为巴西央行2020年推出的全天候即时转账系统，Pix已覆盖全国超过半数成年人口，但频繁成为Android银行恶意软件攻击目标。此次事件中，黑客利用第三方供应商账户权限，突破了Sinqia为24家巴西金融机构提供的Pix支付处理环境，尽管Evertec强调未发现个人数据泄露，但攻击者仍试图通过汇丰银行等客户发起大规模资金转移。汇丰银行回应称客户资金与数据未受影响，但事件凸显金融机构对第三方服务商的安全依赖风险。

https://www.bleepingcomputer.com/news/security/hackers-breach-fintech-firm-in-attempted-130m-bank-heist/

5. 捷豹路虎遭网络攻击致系统关闭，生产零售受影响

9月2日，捷豹路虎（JLR）近日遭遇网络攻击，被迫关闭部分系统以缓解影响，导致其生产和零售业务受到严重干扰。根据公司官方声明，此次事件中虽未发现客户数据被盗迹象，但零售端和生产环节均出现显著中断。捷豹路虎表示，事件发生后立即主动关闭受影响系统，目前正按计划逐步重启全球应用程序，但尚未提供恢复正常运营的具体时间表，也未披露攻击类型或技术细节。作为塔塔汽车旗下子公司，捷豹路虎年收入超380亿美元，年产量超40万辆，拥有3.9万名员工，其索利哈尔工厂负责生产路虎发现、揽胜及揽胜运动版等热门车型。此次攻击导致英国经销商无法注册新车或供应零件，生产系统也一度停摆，但公司强调客户数据安全性未受威胁。此次攻击发生在周末，这一时段常被威胁行为者利用，因企业应急响应能力相对较弱。截至目前尚未有勒索软件团伙宣称对此负责。

https://www.bleepingcomputer.com/news/security/jaguar-land-rover-says-cyberattack-severely-disrupted-production/

6. Palo Alto Networks遭Salesforce供应链攻击泄露客户数据

9月2日，Palo Alto Networks近日确认，其成为上周披露的Salesloft Drift供应链攻击事件中的受影响企业之一，攻击者通过窃取的OAuth令牌非法访问其Salesforce CRM系统，导致客户联系信息、内部销售记录及支持案例数据泄露，但未波及公司核心产品、系统或服务。此次事件暴露了威胁行为者针对Salesforce生态的规模化数据窃取策略，攻击者通过滥用第三方应用漏洞，从数百家企业中批量窃取敏感信息，Palo Alto Networks已紧急禁用相关应用并轮换凭证，同时警告客户需警惕后续针对性攻击。此次攻击源于威胁行为者利用Salesloft Drift应用程序漏洞获取的OAuth令牌，进而渗透其Salesforce环境。尽管泄露数据仅限于联系信息、文本评论及基础案例数据，未包含技术附件或文件，但攻击者仍通过自动化工具（如自定义Python脚本）从账户、联系人、案例等Salesforce对象中大规模提取数据，并重点扫描AWS密钥、Snowflake令牌、VPN/SSO凭证等高价值信息，意图通过窃取的云平台访问权限实施数据勒索或横向渗透。

https://www.bleepingcomputer.com/news/security/palo-alto-networks-data-breach-exposes-customer-info-support-cases/