Romolo Tavani - stock.adobe.com
Campagne Kue d’Icarus : encore une attaque sur la chaîne logistique du logiciel
La campagne d’extorsion revendiquée par la jeune enseigne Icarus s’appuie sur une atteinte à la plateforme de veille commerciale Klue, illustrant à nouveau la nature transitive du risque dans le monde du SaaS.
Suivi depuis mai, Icarus a revendiqué douze victimes. L’attaque, révélée par Klue et ses partenaires, met en lumière comment une vulnérabilité chez un fournisseur tiers peut engendrer des compromissions en cascade chez des organisations qui n’ont jamais été directement ciblées.
L’accès initial au système Klue a été obtenu par les acteurs de la menace via un jeton d’accès personnel (PAT) GitHub ancien, partagé avec un fournisseur il y a plusieurs années. Ce type d’identifiant, souvent laissé actif après l’abandon d’un projet de prototypage, constitue un point d’entrée classique pour les campagnes d’intrusion. L’analyse technique confirme que cet identifiant a servi de tremplin pour l’attaquant.
De l’intégration au CRM : le mécanisme de propagation des jetons OAuth
Une fois à l’intérieur de l’infrastructure de Klue, les attaquants ont injecté du code malveillant permettant l’exfiltration des jetons OAuth utilisés par les clients de Klue pour se connecter à leurs propres systèmes. Ces jetons, qui sont le produit d’une authentification réussie, peuvent souvent contourner les mécanismes de vérification en deux étapes (MFA). L’exploitation de ces jetons a permis aux acteurs malveillants de pivoter en aval et d’accéder directement aux environnements CRM des clients, tels que Salesforce et Gong.
L’exfiltration a touché des instances Salesforce de plusieurs entreprises partenaires de Klue. Les données compromises concernent principalement des informations commerciales : noms et adresses e-mail de contacts, titres professionnels, détails d’abonnement (unités, prix), communications commerciales et notes d’opportunité. Selon les investigations, aucune donnée propre à l’infrastructure de Klue ni aucune donnée de paiement ou de carte de crédit n’ont été impactées.
Le contexte technique de l’attaque : géographie et infrastructure
Les acteurs de la menace ont procédé à une exportation massive de données accessibles. Les requêtes malveillantes ciblant Salesforce ont souvent présenté des User-Agent spécifiques ou un champ vide. La revendication d’Icarus, datée du 19 juin, soit une semaine après le début de la campagne, tel qu’il a pu être établi à ce stade, confirme que « nombre d’autres instances Salesforce d’entreprises partenaires de Klue ont été exfiltrées » et propose aux entreprises concernées de contacter le groupe pour une résolution ; moyennant finances, de toute évidence. Huntress a confirmé compter parmi les entreprises concernées, de même LastPass, Recorded Future, Tanium, ou encore Jamf.
Les équipes de Google ont partagé des adresses IP utilisées par les attaquants.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Les principaux risques de gestion des identités et des accès
Par: Dave Shackleford
-
![]()
Infostealers : le risque systémique des identifiants volés
Par: Valéry Rieß-Marchive
-
![]()
NPM : une nouvelle campagne malveillante souligne une vulnérabilité systémique
Par: Valéry Rieß-Marchive
-
![]()
Trivy, KICS, LiteLLM : TeamPCP souligne les failles de la chaîne logistique logicielle
Par: Valéry Rieß-Marchive
