文章总结: 2026年6月12日,温哥华市场研究公司Klue因一枚2022年遗留测试凭据被Icarus勒索组织利用,导致OAuth令牌存储库遭窃,波及LastPass、HackerOne、RecordedFuture、Tanium等安全厂商。攻击者通过OAuth令牌直接访问客户云环境,提取支持工单、联系人等数据。事件警示SaaS集成层凭据管理是供应链安全关键,建议强制凭据轮换、最小权限和自动化生命周期管理。 综合评分: 87 文章分类: 漏洞分析,供应链安全,数据泄露,安全运营,安全意识
Klue供应链投毒横扫安全圈
原创
星夜AI安全 星夜AI安全
星夜AI安全
2026年7月7日 16:43 吉林
在小说阅读器读本章
去阅读
🌈
2026年6月12日温哥华市场研究公司Klue被入侵,一枚2022年的遗留测试凭据存活4年被Icarus勒索组织武器化;OAuth令牌存储库遭窃波及LastPass/HackerOne/Recorded Future/Tanium等安全行业核心厂商
Klue 供应链投毒撼动整个安全圈:LastPass/HackerOne/Tanium同陷 OAuth 令牌失守
2026年6月12日,温哥华市场研究公司 Klue 的内部系统被黑客攻入——攻击者利用的是 4年前就已结束的 pilot 阶段留下的一枚未被撤销的凭据。通过该凭据攻击者触达 Klue 的 OAuth 令牌存储库,借此横扫全部客户的云端数据,LastPass、HackerOne、Recorded Future、Tanium 等安全行业标杆厂商无一幸免。勒索组织”Icarus”已公开宣称负责,并威胁公开数据。
一、事件概述
| 项目 | 详情 | | — | — | | 入侵发现 | 2026年6月12日(Klue 检测) | | 首次披露 | 2026年6月19日(周五) | | 攻击组织 | Icarus(已公开认领) | | 攻击载体 | 一枚2022年 pilot 阶段遗留凭据 | | 影响范围 | LastPass / HackerOne / Recorded Future / Tanium 等 | | 数据类型 | OAuth 令牌、客户支持数据、联系人信息 | | Klue 业务 | 温哥华市场研究,sales enablement 服务商 | | 核心漏洞模式 | Supply Chain Attack → OAuth Token Theft → SaaS 横扫 |
讽刺的是——攻击的是一家专门做竞品情报的公司,自家却因凭据管理失误导致客户数据大规模泄露。这再次印证了”安全行业的最薄弱环节,往往在第三方 SaaS 供应商”。
二、攻击过程还原(时间线)
阶段1:渗透(2026年6月12日之前)
[2022] Klue 进行某 pilot 阶段
→ 创建了集成服务凭据发送给"未具名第三方"
→ pilot 结束,凭据未撤销(**4年断点**)
[2022-2026.6.12] 该凭据在环境中一直存活
[2026.6.12 之前] 攻击者 Icarus 拿到该凭据
阶段2:横向(2026年6月12日)
[6.12] Klue 检测系统异常入侵,发现可疑活动
→ 凭据被用于访问 Klue 的 OAuth 令牌存储库
→ 该令牌库是 Klue 帮助客户连接 AWS/GCP/Azure 时的认证中转
→ 攻击者批量下载 OAuth 令牌
阶段3:扩展(2026年6月12日 – 6月24日)
[6.12-6.24] 攻击者使用下载的 OAuth 令牌
→ 直接访问 LastPass / HackerOne / Recorded Future / Tanium 的云环境
→ 提取客户支持工单、联系人、IP地址等技术情报
阶段4:勒索(2026年6月25日及之后)
[6.25] Icarus 公开宣称攻击并发出勒索威胁
→ 要求 Klue 支付赎金
→ 威胁不付款则公开数据
阶段5:行业震荡(持续中)
[6.25 至今] 整个网络安全行业进入紧急审查
→ LastPass 历史性二度泄露
→ HackerOne、Recorded Future、Tanium 联合声明
→ 多家行业组织开始审查 SaaS 供应链安全
三、技术分析
3.1 OAuth 令牌存储库为何成为”万能钥匙”
Klue 业务核心是销售情报平台,它的产品逻辑决定了它必须拿到客户的云环境凭据。它的架构是这样的:
[Klue SaaS 平台]
↓
[OAuth Token Vault] ← Klue 存了所有客户的 OAuth 令牌
↓
[客户的 AWS / GCP / Azure / 内部SaaS]
一旦 OAuth Vault 被攻破,等同于拿到了每条客户的”万能钥匙”。这正是 ServiceNow MID Server CVE-2026-21411 那次导致 341 个客户实例泄露事件的同源模式——“集成层 → 客户爆炸半径规模放大”。
3.2 攻击者使用的关键漏洞
| 类型 | 内容 | | — | — | | 核心缺陷 | 长期遗留凭据(4年) | | 技术架构 | OAuth Token Vault 单点风险 | | 绕过机制 | 凭据未轮换 + 未撤销 + 无 MFA | | 横向能力 | 利用 OAuth 令牌无需再次认证 |
3.3 LastPass 二次泄露的核心问题
LastPass 在 6月24日承认——攻击者获得了:
- 客户姓名
- 电话号码
- 电子邮箱地址
- 物理地址
- 客户支持工单数据
- 销售相关数据
虽然密码保险箱(vault)本身未被触及,但客户支持工单中含有大量高敏感片段(过往经验是它们经常包含账号密码、身份证件照片、订单信息等关键数据)。LastPass 2022 年那次泄露的就是整个 vault 容器(加密但可离线破解),后来导致至少 440万美元加密货币被盗——而那已经是 LastPass 五年内的第二次重大事件。
讽刺的是,作为密码管理服务商的 LastPass 却接连成为供应链攻击的受害者。这给所有企业 IT 决策者一个警示:
🌈
“你买的安全产品的安全,不会比它的供应链安全。”
3.4 同模式横向看:ServiceNow MID Server CVE-2026-21411
本月同期发生的 ServiceNow MID Server 认证绕过漏洞(CVE-2026-21411)也采用 “集成层漏洞 → 影响每家客户” 的攻击模式:
- 341 个 ServiceNow 客户实例被从认证绕过漏洞中提取数据
- 与 Klue 攻击唯一的区别是:ServiceNow 是被研究人员发现的,Klue 是被勒索组织利用的
- 攻击者一旦换成 Icarus 类组织,ServiceNow 同样可以重演 Klue 剧本
四、影响评估
4.1 直接受影响公司数据清单
| 公司 | 业务类型 | 数据暴露程度 | | — | — | — | | LastPass | 密码管理 | 🟡 中等(仅支持工单+联系人) | | HackerOne | 漏洞众测平台 | 🟡 中等(安全研究联系人外泄) | | Recorded Future | 威胁情报 | 🟡 中等(分析师+客户业务数据) | | Tanium | 端点管理 | 🟡 中等(客户实例配置信息) | | Klue 自有客户 | 销售情报 | 🟠 较高(销售数据+客户关系) |
4.2 衍生风险评估
⚠️ 供应链连锁效应:
- 凭据钓鱼激增——攻击者掌握了 LastPass 高质量客户名单,可针对性发起精心钓鱼
- 高价值目标画像——HackerOne 的研究人员信息暴露是黑市高价值数据
- 供应商信任崩塌——所有依赖 Klue 的客户将面临续约与迁移决定
- 保险理赔——多家厂商将面对网络保险的赔付审议
4.3 监管风险
参照韩国 2021 Coupang 数据泄露事件被罚 $40.9M 的判例:
🌈
如果 Klue 与 LastPass 后续披露不及时被认定为不充分,将面临巨额罚款。
美国 SEC 网络事件披露新规(2023年12月生效)下,“重大网络安全事件”必须在 4 个工作日内披露。目前 Klue 的”沉默”姿态,已经把监管后续压力推到极限。
五、行业警示与建议
5.1 给安全厂商的建议
- 清查第三方 SaaS 供应商凭据管理——立即审计所有集成的 OAuth 凭据、API key,标注过期风险
- 强制客户 OAuth 令牌的最小权限——避免一次性颁发全场管理员权限
- 凭据生命周期自动化——pilot 结束后强制自动撤销 + 季度手动复核
- 监控 OAuth 异常使用——Microsoft Defender for Cloud Apps、CASB 工具启用 OAuth 滥用检测
5.2 给企业 IT 的建议
- 建立”凭据过期监控表”——把所有与 SaaS 服务商集成的密钥 / OAuth 凭据清单化管理,标注过期日
- 关键 SaaS 服务 “加密金库” 模式——要求厂商使用专用 Vault(如 HashiCorp Vault)存储令牌,并强制轮换周期 ≤90天
- 供应商风险评估——把 Klue 案例纳入 Tier-1 供应商风险评估的必查项
- MFA 强制——所有 OAuth / API key 必须配合 IP 白名单 + MFA
5.3 给安全研究人员的建议
- 审查 SaaS 集成层安全——Klue 与 ServiceNow 案例显示这是 2026 年最大攻击面
- 关注 OAuth 滥用——开发新的规则检测 “OAuth 令牌异常使用”(如异地登录、非白名单 User Agent 等)
- PRIROITIZE 集成层 API 安全测试——传统 DAST 工具对 OAuth 流程覆盖不足
5.4 给个人的建议(LastPass 用户角度)
- 启用 LastPass 主密码 + MFA——目前 vault 未被泄露,但工单数据可能涉及
- 检查账户支持记录——若在 2026年6月期间曾向 LastPass 提交过工单,注意定向钓鱼
- 评估是否迁移到 Bitwarden / 1Password / KeePass——考虑到 LastPass 历史上两次重大泄露
六、关键启示
Klue 事件给所有企业上了 “供应链安全第四课”:
🌈
第一课(SolarWinds):软件供应链上游污染 第二课(3CX):上游污染向下游传导 第三课(TanStack/OpenAI):开源依赖投递后门 第四课(Klue):SaaS 集成层的 OAuth 凭据失守 = 全客户爆炸
核心经验:
- 一枚未被撤销的测试凭据存活 4 年 → “留个测试账号以后删”是供应链攻击的最大温床
- OAuth 令牌存储库是 “万能钥匙盒” → 所有 SaaS 服务商必须将 Vault 设计为最高安全域
- 集成层漏洞爆炸半径按”客户数”放大 → 影响远超单家公司
整个安全行业 2026 年踩进了自己擅长的领域:保护好大家的安全之前,先要保护好自己。
🌈
2026 年供应链攻击已成 APT、勒索组织、SaaS 业务的「三赢」目标。关注「星夜AI安全」,第一时间收到攻击案例深度分析、红蓝对抗实战技巧、内网渗遗留防护指南。
圈子介绍
现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。
已产出的安全工具及成果包括:
- 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
- XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
- 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
- NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
- WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
- _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
- fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
- RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
- 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
- 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
- 一键Kill 火绒 defender 工具 HDKiller(包含源码)
- win11 一键kill 360工具 InjectKill(包含源码)
- win11 一键kill defender工具win11_df-killer(包含源码)
- 免杀火绒6.0内存防护加载器BypassMemLoader
- 单文件过360 免杀loader exe_bypass_360
- 单文件过火绒 df 免杀loader exe_bypass_df(包含源码)
- LNK钓鱼文件生成工具V1.0
- EXE捆绑启动器 v2.0
- 火绒6内存免杀加载器bypasshr6
- 火绒一键Kill专杀工具HRKiller
- Ring3 内存免杀工具Ring3bypasshr.exe
后续将不断更新到内部圈子中 欢迎加入圈子
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《Klue供应链投毒横扫安全圈》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论