Siber suç, sahtekarlık yönetimi ve siber suç
Grupun Github’daki kaynak kodunu taradığı bildirildi, kurtarılmış OAuth jetonları
Mathew J. Schwartz (Euroinfosec) •
18 Eylül 2025
Salesloft Drift kullanıcılarındaki veri tutma saldırılarının arkasındaki gaspçıların 760 şirketten 1,5 milyar Salesforce rekoru çaldığını iddia ediyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Bilgisayar korsanları takma adını kullanan Shinyhunters sorumluluk iddia etti. Gevşek siber suçlu kolektifler Spider ve Lapsus $ ile güçlerini birleştiren grup, şimdi toplu olarak kendilerine dağınık Lapsus $ avcılarını söylüyor. Veri hırsızlığı ve gasp konusunda uzmanlaşmaya devam ederler, bazen bir kuruluşun ortamında fidye yazılımı açığa çıkarırlar.
FBI Cuma günü, saldırganların Salesloft Drift Yapay Zeka Chatbot’u Salesforce örnekleriyle entegre etmek için kullandığı OAuth Jetons’ı çaldığını söyledi. Google’ın Tehdit İstihbarat Grubu daha önce saldırıların 8 Ağustos’ta başladığını ve 18 Ağustos’a kadar sürdüğünü ve yaklaşık 700 Salesloft müşterinin kurban düştüğünü bildirdi.
Shinyhunters Çarşamba günü BleepingComputer’a üyelerinden birinin Salesloft’un GitHub deposunu ilk kez ihlal ettiğini ve özel kaynak koduna eriştiğini söyledi. Ücretsiz, meşru Trufflehog güvenlik aracını kullanarak kodu taradılar. Trufflehog, API anahtarları, veritabanı şifreleri ve GIT depoları, sohbetler, wikiler ve diğer veri depolarına giren özel şifreleme anahtarları gibi sızdırılmış kimlik bilgilerini bulmak, doğrulamak ve analiz etmek için tasarlanmıştır.
Shinyhunters, Trufflehog’un, sürüklenme e -posta platformlarını Salesforce örneğiyle entegre eden 760 Salesloft müşterisine erişimi kolaylaştıran OAuth jetonlarını köklendirdiğini söyledi.
Salesloft, Perşembe günü saldırganların iddialarına ilişkin yorum talebine hemen yanıt vermedi.
Depolar içindeki jetonları veya diğer sırları aramak için bir Github hesabına girmek “Shinyhunters/Lapsus $/dağınık örümcek 2020’den (veya daha önce) kullandığı bir yöntemdir ve açıkça çalışıyor,” Hudson Rock kurucu ortağı Alon Gal, son bir Linkedin Post’ta söyledi.
Shinyhunters, çalınan kayıtların “yaklaşık 250 milyonu hesaptan 579 milyon, fırsattan 171 milyon, kullanıcıdan 60 milyon ve vaka satış kuvveti tablolarından yaklaşık 459 milyon kayıt olduğunu bildiren BleepingComputer ile verilerinin kanıtını paylaştı.
Google, UNC6395 olarak izlediği parlak avcılarla ilgili 28 Ağustos’ta bir raporda, “tehdit oyuncusunun birincil amacı kimlik bilgilerini toplamaktır” ve “veriler de açıklandıktan sonra, aktör, kurban ortamlarını uzatmak için potansiyel olarak kullanılabilecek sırları aramak için verileri aradı.” Bu, “Amazon Web Services (AWS) Access Anahtarları (AKIA), şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas kimlik bilgilerini hedeflemek” içeriyordu.
Saldırganlar ayrıca Google çalışma alanı da dahil olmak üzere DRIFT ile entegre olan diğer uygulamalara erişmek için OAuth jetonları kullandılar. Salesloft, Salesforce’un yanı sıra Eloqua, Facebook Analytics, Google Analytics, Marketo, Zapier ve Zoom dahil olmak üzere 50’den fazla araca entegrasyonlar sunuyor.
Salesforce ile çalışan Salesloft, 20 Ağustos’ta tüm aktif OAuth jetonlarını sürüklenme için iptal etti ve yeniledi ve saldırganların daha fazla erişimi engelledi.
Shinyhunters’ın veri tutma çabalarının bilinen kurbanları ortaya çıkmaya devam ediyor. BeyondTrust, Cato Networks, Cloudflare, Cyberark, Jfrog, Nutanix, Palo Alto Networks, Proofpoint, Qualys, Rubrik, Spycloud, Tenable ve Zscaler içerir.
Dağınık Lapsus $ Hunters’ın bir üyesi Cuma günü kollektifin “karanlık olduğunu” iddia etti ve emekli olmuştu, ancak güvenlik uzmanları aksine kanıt gördüğünü bildirdi (bakınız: Finansal hizmetlere yeni saldırılara bağlı dağınık örümcek).