Workiva affectée par la vague de brÚches Salesforce liée à ShinyHunters

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informĂ© ses clients d’un vol de donnĂ©es limitĂ© via un CRM tiers, incident qui s’inscrit dans la rĂ©cente sĂ©rie de brĂšches Salesforce attribuĂ©es au groupe d’extorsion ShinyHunters. ‱ DonnĂ©es touchĂ©es chez Workiva: noms, adresses e‑mail, numĂ©ros de tĂ©lĂ©phone et contenus de tickets de support. Workiva prĂ©cise que sa plateforme et les donnĂ©es qu’elle hĂ©berge n’ont pas Ă©tĂ© accĂ©dĂ©es et que l’accĂšs est venu via une application tierce connectĂ©e. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

7 septembre 2025 Â· 2 min

Attaque supply chain contre Nx via GitHub Actions : vol de tokens npm et paquets malveillants

Selon Socket, le systĂšme de build Nx a subi une attaque de la chaĂźne d’approvisionnement exploitant une vulnĂ©rabilitĂ© dans un workflow GitHub Actions, compromettant un Ă©cosystĂšme totalisant plus de 4,6 millions de tĂ©lĂ©chargements hebdomadaires. Les attaquants ont publiĂ© des packages malveillants qui ont rĂ©coltĂ© des milliers d’identifiants, mettant en lumiĂšre des lacunes critiques de sĂ©curitĂ© CI/CD et le risque des branches obsolĂštes comme vecteurs persistants. L’attaque s’est appuyĂ©e sur une injection bash via un workflow dĂ©clenchĂ© par pull_request_target avec des permissions Ă©levĂ©es. Des titres de PR forgĂ©s comme $(echo “malicious code”) ont permis une exĂ©cution de commandes arbitraires. Les acteurs ont ciblĂ© des branches anciennes oĂč le workflow vulnĂ©rable subsistait, mĂȘme aprĂšs sa suppression de la branche master. ...

4 septembre 2025 Â· 2 min

Cloudflare touché par la compromission Salesloft/Drift : exfiltration de données Salesforce et rotation de 104 jetons API

Source: BleepingComputer (Sergiu Gatlan). Cloudflare rĂ©vĂšle avoir Ă©tĂ© impactĂ© par la sĂ©rie de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de donnĂ©es textuelles de son CRM de support entre le 12 et le 17 aoĂ»t 2025, aprĂšs une phase de reconnaissance le 9 aoĂ»t. Cloudflare indique que des attaquants ont accĂ©dĂ© Ă  une instance Salesforce utilisĂ©e pour la gestion des tickets clients et ont exfiltrĂ© uniquement le texte des objets de cas (pas les piĂšces jointes). Parmi les Ă©lĂ©ments sensibles potentiellement exposĂ©s figurent des informations de contact clients et des contenus de tickets pouvant inclure des clĂ©s, secrets, jetons ou mots de passe. L’entreprise a identifiĂ© 104 jetons API Cloudflare prĂ©sents dans ces donnĂ©es et les a tous rotationnĂ©s avant la notification clients du 2 septembre, sans activitĂ© suspecte dĂ©tectĂ©e Ă  ce stade. ...

3 septembre 2025 Â· 2 min

Violation chez Salesloft : jetons OAuth compromis, accĂšs Ă  Salesforce et Gmail pour 700+ entreprises

Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intĂ©grations OAuth, avec des impacts en chaĂźne sur Salesforce et Google Workspace. — Ce qui s’est passĂ© Des attaquants ont utilisĂ© des jetons OAuth compromis pour l’intĂ©gration Drift–Salesforce entre le 8 et le 18 aoĂ»t 2025 afin d’exfiltrer des donnĂ©es de certaines instances clients Salesforce. Le 28 aoĂ»t, le Google Threat Intelligence Group (GTIG) a confirmĂ© la compromission de jetons OAuth pour l’intĂ©gration “Drift Email”. Le 9 aoĂ»t, un acteur a utilisĂ© ces jetons pour accĂ©der aux emails d’un trĂšs petit nombre de comptes Google Workspace. — Impact et cibles ...

3 septembre 2025 Â· 3 min

Fuite de données chez Palo Alto Networks via des tokens OAuth volés ciblant Salesforce

Selon BleepingComputer, Palo Alto Networks a confirmĂ© avoir Ă©tĂ© victime d’une fuite de donnĂ©es via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant Ă  des attaquants d’accĂ©der Ă  son instance Salesforce. L’entreprise prĂ©cise que l’impact est limitĂ© Ă  son CRM Salesforce et n’affecte aucun produit, systĂšme ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploitĂ© des tokens OAuth volĂ©s pour rĂ©aliser une exfiltration de masse de donnĂ©es depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisĂ© des outils automatisĂ©s (user-agents observĂ©s: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimĂ© des logs/queries pour masquer leurs traces et ont recouru Ă  Tor pour obfusquer leur origine. ...

2 septembre 2025 Â· 2 min

Zscaler touché par la compromission OAuth de Salesloft Drift : exposition limitée de données Salesforce

SecurityAffairs rapporte que Zscaler a Ă©tĂ© impactĂ© par la campagne de vol de jetons OAuth liĂ©e Ă  Salesloft Drift, utilisĂ©e pour accĂ©der Ă  des instances Salesforce, sans compromission de ses produits ou de son infrastructure. ‱ L’éditeur indique que des acteurs non autorisĂ©s ont obtenu des identifiants Drift permettant une visibilitĂ© limitĂ©e sur certaines donnĂ©es Salesforce de Zscaler. Les informations exposĂ©es comprennent des coordonnĂ©es professionnelles (noms, emails, titres, numĂ©ros, rĂ©gions), des informations commerciales et de licences Zscaler, ainsi que du contenu de certains tickets de support. Zscaler a rĂ©voquĂ© l’accĂšs Drift Ă  Salesforce, tournĂ© les jetons API, lancĂ© une enquĂȘte conjointe avec Salesforce, ajoutĂ© des garde-fous, revĂ©rifiĂ© ses tiers et renforcĂ© l’authentification du support client. Aucune preuve d’abus des donnĂ©es n’a Ă©tĂ© trouvĂ©e Ă  ce stade. ...

2 septembre 2025 Â· 3 min

Serveur Linux compromis via upload non restreint et web shells PHP (Varonis)

Selon Varonis, une enquĂȘte a rĂ©vĂ©lĂ© la compromission d’un serveur web Linux exploitĂ©e pendant plusieurs mois via une vulnĂ©rabilitĂ© de tĂ©lĂ©versement de fichiers non restreint, due Ă  une page d’upload mal configurĂ©e exposĂ©e sur Internet. L’acteur a pu tĂ©lĂ©verser des web shells PHP obfusquĂ©s 🐚. Bien que l’attaque ait Ă©tĂ© contenue par des restrictions rĂ©seau empĂȘchant la communication externe des web shells, l’incident met en Ă©vidence des lacunes critiques, dont des systĂšmes non patchĂ©s, l’absence d’EDR et une segmentation rĂ©seau insuffisante. ...

31 aoĂ»t 2025 Â· 2 min

Allemagne: prĂ©lĂšvements PayPal non autorisĂ©s entraĂźnent le gel de milliards d’euros, incident dĂ©clarĂ© rĂ©solu

Selon The Register (28 aoĂ»t 2025), des banques allemandes ont dĂ©tectĂ© lundi une sĂ©rie de prĂ©lĂšvements automatiques non autorisĂ©s liĂ©s Ă  PayPal, entraĂźnant un gel massif des transactions avant un retour Ă  la normale annoncĂ© mardi matin. Des Ă©tablissements, citĂ©s par l’Association des banques allemandes et le DSGV, ont constatĂ© des prĂ©lĂšvements SEPA non autorisĂ©s en provenance de PayPal et ont rĂ©agi de diverses maniĂšres, dont l’arrĂȘt total des transactions PayPal pour certains. Le volume de paiements gelĂ©s est estimĂ© Ă  environ 10 milliards d’euros. ...

29 aoĂ»t 2025 Â· 2 min

Attaque supply chain sur Nx (npm) : exfiltration de secrets via GitHub et abus de GitHub Actions

Selon Wiz (blog), une attaque de supply chain a touchĂ© le 26 aoĂ»t 2025 le systĂšme de build Nx sur npm via des versions malveillantes contenant un malware post-install. Le code a collectĂ© des actifs sensibles (wallets crypto, tokens GitHub/npm, clĂ©s SSH, fichiers .env, etc.) et a exfiltrĂ© ces donnĂ©es vers des dĂ©pĂŽts publics créés au sein des comptes GitHub des victimes (s1ngularity-repository). GitHub a dĂ©sactivĂ© ces dĂ©pĂŽts le 27 aoĂ»t Ă  9h UTC, mais la fenĂȘtre d’exposition (~8h) a permis des tĂ©lĂ©chargements par les attaquants et d’autres acteurs. ...

29 aoĂ»t 2025 Â· 3 min

Des attaquants détournent Velociraptor pour établir un tunnel VS Code via Cloudflare Workers

Selon news.sophos.com (Ă©quipe Sophos Counter Threat Unit), en aoĂ»t 2025 des chercheurs ont enquĂȘtĂ© sur une intrusion au cours de laquelle un acteur a dĂ©ployĂ© l’outil DFIR open source Velociraptor pour orchestrer le tĂ©lĂ©chargement et l’exĂ©cution de Visual Studio Code en mode tunnel, avec communication vers un C2 hĂ©bergĂ© sur Cloudflare Workers. Dans cette intrusion, l’attaquant a utilisĂ© l’utilitaire Windows msiexec pour rĂ©cupĂ©rer un installateur (v2.msi) depuis un domaine Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev) servant de rĂ©pertoire de staging oĂč se trouvaient notamment l’outil de Cloudflare Tunneling et Radmin. Le MSI a installĂ© Velociraptor, configurĂ© pour communiquer avec le C2 velo[.]qaubctgg[.]workers[.]dev. L’attaquant a ensuite exĂ©cutĂ© une commande PowerShell encodĂ©e pour tĂ©lĂ©charger Visual Studio Code (code.exe) depuis le mĂȘme staging et l’a lancĂ© avec l’option tunnel activĂ©e, avant d’installer code.exe comme service et de rediriger la sortie vers un fichier journal. Un second tĂ©lĂ©chargement via msiexec (sc.msi) depuis le dossier workers[.]dev a suivi. ...

29 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 5 juillet 2026 📝