一次复杂的供应链攻击影响了包括主要网络安全公司在内的 700 多家组织，其历史可以追溯到 Salesloft 的 GitHub 帐户遭到的入侵，该攻击早在 2025 年 3 月就开始了。

在 2025 年 9 月 6 日的更新中，Salesloft 证实，网络安全公司 Mandiant 的一项调查发现，威胁行为者利用这种初始访问权限最终从其 Drift 聊天平台窃取 OAuth 身份验证令牌，导致客户系统的数据被广泛盗。

调查于 8 月 28 日开始，显示威胁行为者在 2025 年 3 月至 6 月期间访问了 Salesloft 的 GitHub 帐户。

在此期间，攻击者从私有存储库下载内容，添加访客用户，并建立工作流程，同时对 Salesloft 和 Drift 应用程序环境进行侦察。

虽然 Salesloft 平台本身没有被破坏，但攻击者转向了 Drift 的 AWS 环境，在那里他们成功获得了用于客户技术集成的 OAuth 代币。

Salesloft 漂移网络攻击

该威胁行为者被谷歌威胁情报小组确定为 UNC6395，在 8 月 8 日至 8 月 18 日期间使用这些被盗的令牌访问和窃取客户的集成应用程序（尤其是 Salesforce 实例）中的数据。

被盗数据主要包括业务联系信息，例如姓名、电子邮件地址和职位，以及支持案例中的内容。

此次泄露影响了众多知名公司，包括 Cloudflare、Zscaler、Palo Alto Networks、PagerDuty 和 SpyCloud。

该事件被认为是近期最大的 SaaS 供应链攻击之一，凸显了与第三方应用程序集成相关的风险。

为了应对这次攻击，Salesloft 与 Mandiant 合作并采取果断行动来遏制威胁。该公司使 Drift 平台完全离线，隔离其基础设施，并轮换所有受影响的凭据。

Mandiant 此后验证了该事件已得到控制，并且 Salesloft 和 Drift 环境之间的技术分段阻止了攻击者横向移动。

调查的重点现在已转移到法医质量保证审查上。Salesloft 已向其合作伙伴发布指南，建议所有通过 API 密钥与 Drift 集成的第三方应用程序主动撤销现有密钥。

该公司还发布了一份入侵指标 （IOC） 列表，包括恶意 IP 地址和用户代理字符串，以帮助客户搜索自己的日志以查找可疑活动。

虽然一个名为“分散的 LAPSUS$ Hunters 4.0”的组织声称对此负责，但调查人员尚未找到可靠的证据来支持这一说法。