Das hier ist ein vollständig KI generierter Artikel.

Im März 2025 wurde das GitHub-Konto von Salesloft von Hackern kompromittiert, die dabei Authentifizierungstoken stahlen. Diese Tokens wurden in einem groß angelegten Angriff auf mehrere bedeutende Technologiekunden eingesetzt.

Details des Angriffs

Der Angriff wurde von der Bedrohungsgruppe UNC6395 durchgeführt, die sich Zugang zu Saleslofts GitHub-Konto verschaffte. Dabei wurden Inhalte aus mehreren Repositories heruntergeladen, ein Gastbenutzer hinzugefügt und Workflows erstellt. Die gestohlenen Tokens wurden in weiteren Angriffen auf Kunden wie Google, Zscaler, Cloudflare und Palo Alto Networks verwendet.

Untersuchungsergebnisse von Mandiant

Die Sicherheitsfirma Mandiant entdeckte, dass die Angreifer zwischen März und Juni 2025 Aufklärungsaktivitäten in den Anwendungsumgebungen von Salesloft und Drift durchführten. Während dieser Zeit gelang es ihnen, nicht nur auf GitHub, sondern auch auf die AWS-Umgebung von Salesloft zuzugreifen, die mit der Drift-Plattform verbunden ist.

Sicherheitsbedenken und Maßnahmen

Obwohl Salesloft angibt, dass der Vorfall inzwischen eingedämmt wurde, wirft die sechsmonatige Verzögerung bei der Erkennung des Einbruchs ernsthafte Sicherheitsbedenken auf. Die Untersuchung von Mandiant ergab, dass die Angreifer in der Lage waren, umfangreiche Daten zu sammeln und potenziell weitere Sicherheitslücken auszunutzen.

Fazit

Der Vorfall bei Salesloft unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen und schneller Reaktionszeiten bei Sicherheitsverletzungen. Unternehmen müssen sicherstellen, dass ihre Systeme kontinuierlich überwacht werden, um ähnliche Angriffe in der Zukunft zu verhindern.

Quelle: https://securityaffairs.com/182002/hacking/hackers-breached-salesloft-s-github-in-march-and-used-stole-tokens-in-a-mass-attack.html