文章总结： 2026年6月，市场情报平台Klue遭供应链攻击，攻击者入侵后端服务器窃取客户OAuth令牌，滥用SalesforceAPI提取CRM数据。Huntress和RecordedFuture等网络安全公司确认业务数据泄露，但核心系统未受影响。事件与新兴勒索组织Icarus相关，凸显第三方集成安全风险。 综合评分： 73 文章分类： 供应链安全,漏洞预警,数据安全,解决方案,威胁情报

多家网络安全公司受 Klue 供应链攻击影响

Ionut Arghire Ionut Arghire

代码卫士

2026年6月22日 15:30 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络安全公司 Huntress 和 Recorded Future 披露了针对市场情报平台 Klue 的供应链攻击事件的影响。

该攻击始于 6 月 11 日，影响与软件平台集成相关的系统。攻击者连接至 Klue 的后端服务器并执行了未经授权命令，推送了一次代码更新，窃取客户 Klue 集成的 OAuth 令牌。

Klue 于 6 月 12 日通知客户称，已停用所有客户的 OAuth 令牌，并禁用了与 Salesforce、HubSpot、SharePoint、Zoom、Gong、Chorus、Clari、Google Drive 和 Slack 的集成。

根据 ReliaQuest 的说法，攻击者滥用 Salesforce REST API，在 24 小时内窃取了大量客户关系管理（CRM）数据，“包括在 15 分钟内集中爆发近千次查询，以及持续超过 6 小时的数据提取窗口”。

6 月 17 日，Salesforce 禁用了 Klue Battlecards 应用集成，警告称“检测到涉及该应用的异常活动，可能通过该应用与 Salesforce 的连接导致对部分客户数据的未经授权访问”。

周四，Huntress 和 Recorded Future 公司均确认它们是受此次供应链攻击影响的公司之一。Huntress 表示：“从我们 Salesforce 账户中被复制的数据包括业务联系人、报价以及其他销售相关数据和消息。威胁数据、密码、支付卡信息或与 Huntress 代理或所收集遥测数据相关的工程数据未受到影响。”

Recorded Future 则指出：“虽然我们的调查仍在进行中，但我们认为影响仅限于存储在 Salesforce 数据库中的业务数据字段，例如客户联系人姓名和电子邮件地址。某些业务合同信息也可能包含在受影响的数据中。”

此次事件的影响范围仅限于 Klue 与 Salesforce 的集成，攻击者并未访问这两家网络安全公司所属或维护的任何系统。

Huntress 指出，还有其它几家网络安全公司使用 Klue，但似乎没有其它公司公开披露受到此次攻击的影响。此次攻击与之前 Salesforce、Salesloft Drift 和 Gainsight 事件中观察到的模式相同，这些事件被指与 ShinyHunters 和 UNC6395有关，但本次攻击似乎是由一个新的威胁行动者发起的。

Huntress 表示收到了一名自称“Mr Brean”的威胁行为者发出的勒索通信，该行为者指向了一个与 Icarus 关联的 Session Messenger ID，而Icarus 是一个于 2026 年 4 月出现的勒索组织。Icarus 的泄露网站有一条 5 月初的条目，据称从受害者那里窃取的数据已经发布（尽管已不再可访问），还有一条 6 月 16 日的条目，指向从 Salesforce 窃取的数据。Huntress 表示：“通过这些匹配的数据点，我们高度确信 Icarus 行为者应对此次 Klue 入侵和供应链攻击负责。”

虽然 Klue 已向其客户分享了此次攻击的详细信息，但尚未就此事件公开发布公告。目前该公司也尚未就此事发布声明。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

GitHub 推出 npm 安全变更，对抗供应链攻击

最新软件供应链事件概览：Red Hat npm 包遭劫持；投毒 Claude Code；OpenAI Codex 认证令牌被盗

TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件

自动化供应链攻击6小时内攻陷5561个 GitHub 仓库

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

GitHub 内部仓库疑遭未授权访问，TeamPCP 据称正在出售 GitHub 内部源代码

奇安信Qcode Agents重磅升级，正式解锁操作系统级漏洞挖掘能力

Grafana 令牌被盗，GitHub 环境可遭访问且代码库被下载

TeamPCP再发动供应链攻击；数百个恶意包被上传，RubyGems 暂停新账号注册

Checkmarx 再遭攻击，Jenkins AST 插件受陷

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

原文链接

https://www.securityweek.com/cybersecurity-firms-impacted-by-klue-supply-chain-attack/

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ionut Arghire Ionut Arghire《多家网络安全公司受 Klue 供应链攻击影响》