Um sofisticado ataque de cadeia de suprimentos que impactou mais de 700 organizações, incluindo grandes empresas de segurança cibernética, foi rastreado até um compromisso da conta do Github da Salesloft, que começou já em março de 2025.
Em uma atualização em 6 de setembro de 2025, a Salesloft confirmou que uma investigação da empresa de segurança cibernética Mandiant descobriu que os atores de ameaças alavancavam esse acesso inicial a eventualmente roubar tokens de autenticação de OAuth de sua plataforma de bate -papo de deriva, levando a um escapado generalizado de dados dos sistemas de clientes.
A investigação, iniciada em 28 de agosto, revelou que os atores de ameaças tiveram acesso à conta do Github da Salesloft de março a junho de 2025.
Durante esse período, os invasores baixaram conteúdo de repositórios privados, adicionaram um usuário convidado e estabeleceram fluxos de trabalho enquanto realizam reconhecimento nos ambientes de aplicativos Salesloft e Drift.
Embora a própria plataforma Salesloft não tenha sido violada, os atacantes se articularam ao ambiente da AWS da Drift, onde obtiveram com sucesso os tokens OAuth para integrações de tecnologia de clientes.
Salesloft Drift Cyberattack
O ator de ameaças, identificado pelo grupo de inteligência de ameaças do Google como UNC6395, usou esses tokens roubados entre 8 e 18 de agosto para acessar e exfiltrar dados de aplicativos integrados dos clientes, principalmente as instâncias do Salesforce.
Os dados roubados incluíram principalmente informações de contato comercial, como nomes, endereços de email e títulos de emprego, além de conteúdo dos casos de suporte.
A brecha afetou uma ampla variedade de empresas de alto nível, incluindo Cloudflare, Zscaler, Palo Alto Networks, PagerDuty e Spycloud.
O incidente é considerado um dos maiores ataques recentes da cadeia de suprimentos SaaS, destacando os riscos associados às integrações de aplicativos de terceiros.
Em resposta ao ataque, a Salesloft contratou Mandiant e tomou medidas decisivas para conter a ameaça. A empresa pegou a plataforma de deriva completamente offline, isolou sua infraestrutura e girou todas as credenciais impactadas.
Desde então, Mandiant verificou que o incidente está contido e que a segmentação técnica entre os ambientes de vendas e deriva impediu que os atacantes se movessem lateralmente.
O foco da investigação agora mudou para uma revisão forense de garantia da qualidade. A Salesloft emitiu orientações para seus parceiros, recomendando que todos os aplicativos de terceiros integrados ao Drift via API Key Revogar proativamente a chave existente.
A empresa também publicou uma lista de indicadores de compromisso (IOCs), incluindo endereços IP maliciosos e strings agentes do usuário, para ajudar os clientes a pesquisar seus próprios logs quanto a atividades suspeitas.
Indicador TypeValue/Descrição Os endereços IPMaliciosos, com sucesso, as conexões de deriva autenticadas da IPS na lista de permissões oficiais de Drift devem ser consideradas suspeitas. Os seguintes IPs são confirmados como maliciosos (texto fornecido pelo usuário):
– 154.41.95.2
– 176.65.149.100
– 179.43.159.198
– 185.130.47.58
– 185.207.107.130
– 185.220.101.133
– 185.220.101.143
– 185.220.101.164
– 185.220.101.167
– 185.220.101.169
– 185.220.101.180
– 185.220.101.185
– 185.220.101.33
– 192.42.116.179
– 192.42.116.20
– 194.15.36.117
– 195.47.238.178
– 195.47.238.83
– 208.68.36.90
-44.215.108.109Malicious-Strings agentes do usuário O seguinte agente do usuário foi associado à atividade do ator de ameaças (texto fornecido pelo usuário):
-Python-Requests/2.32.4
-Salesforce-multi-org-fetcher/1.0
– Python/3.11 AIOHTTP/3.12.15
Enquanto um grupo chamado “Lapsus $ Hunters 4,0” assumiu a responsabilidade, os investigadores não encontraram evidências credíveis para apoiar essa reivindicação.
Encontre esta história interessante! Siga -nos no Google News, LinkedIn e X para obter mais atualizações instantâneas.
