Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle.
— L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois.
— L’impact est décrit comme des effets en cascade touchant 700+ organisations, dont des fournisseurs majeurs de cybersécurité. L’incident met en lumière des vulnérabilités critiques liées aux intégrations IA et aux dépendances de chaîne d’approvisionnement. À noter, Okta est resté protégé grâce à un allow‑listing d’IP.
— Le rapport énumère des contre‑mesures techniques observées comme efficaces ou recommandées dans ce contexte: allow‑listing d’IP (efficace pour Okta), politiques de rotation des jetons, segmentation réseau, et monitoring comportemental des schémas de consommation de données des applications IA.
TTPs observés (extraits du rapport):
- Compromission d’un référentiel GitHub de fournisseur
- Vol et abus d’un jeton OAuth lié à Drift
- Pivot vers des instances Salesforce connectées
- Exfiltration de données via intégrations IA à large périmètre d’accès
- Maintien de la furtivité grâce à l’architecture trust-based et aux patterns d’accès des apps IA
IOCs: Aucun indicateur (hash, IP, domaine) explicitement communiqué dans l’extrait.
Il s’agit d’une publication de recherche visant à documenter une attaque supply chain, ses impacts et les contrôles défensifs pertinents.
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/i/ai-app-breach.html
🖴 Archive : https://web.archive.org/web/20250925094647/https://www.trendmicro.com/en_us/research/25/i/ai-app-breach.html