أعلنت شركة Salesloft أنها ستقوم بإيقاف منصة Drift بشكل مؤقت في أعقاب حملة اختراق كبرى استهدفت سلسلة توريد البرمجيات، وأسفرت عن سرقة جماعية لرموز المصادقة OAuth الخاصة بعدد من المؤسسات.
وأوضحت الشركة أن هذا القرار هو “أسرع طريق لمراجعة التطبيق بشكل شامل وتعزيز مرونة وأمان النظام قبل إعادته إلى العمل بشكل كامل”، مشيرة إلى أن روبوت Drift التفاعلي على مواقع العملاء لن يكون متاحاً مؤقتاً، ولن تكون المنصة قابلة للوصول خلال فترة الإيقاف.
وتعمل Salesloft حالياً بالتعاون مع شركتي Mandiant وCoalition في إطار استجابة شاملة للحادثة، مركزة على حماية نزاهة الأنظمة وبيانات العملاء.
حملة اختراق واسعة النطاق استهدفت رموز OAuth الخاصة بـDrift
الحادثة تأتي عقب كشف كل من Google Threat Intelligence Group (GTIG) وMandiant عن حملة سرقة بيانات واسعة استهدفت رموز OAuth وتجديد المصادقة (refresh tokens) المستخدمة في منصة Drift المعتمدة على الذكاء الاصطناعي، حيث استخدم المهاجمون هذه الرموز للوصول غير المصرح به إلى أنظمة Salesforce الخاصة بالعملاء.
وبحسب التقارير، فإن الهجمات بدأت على الأقل في الثامن من أغسطس 2025 واستمرت حتى الثامن عشر من الشهر ذاته، مستهدفة تكامل Drift مع Salesforce ضمن بيئة Salesloft.
وقد نسبت هذه الأنشطة إلى مجموعة تهديد تُعرف باسم UNC6395 (وتُعرف أيضاً باسم GRUB1)، وأشارت Google إلى أن الحملة قد طالت أكثر من 700 مؤسسة حول العالم.
التأثيرات تتوسع لتشمل منصات متعددة
في البداية، تم اعتبار الحادث مقتصر على تكامل Salesloft مع Salesforce، لكن تبين لاحقاً أن أي منصة متكاملة مع Drift قد تكون عرضة للخطر. ولم يتم حتى الآن الكشف عن الطريقة التي استخدمت لاختراق منصة Drift نفسها.
وقد قررت Salesforce تعطيل جميع عمليات تكامل Salesloft مؤقتاً كإجراء احترازي. ومن بين المؤسسات التي أكدت تأثرها بالهجوم:
- Cloudflare
- Google Workspace
- PagerDuty
- Palo Alto Networks
- Proofpoint
- SpyCloud
- Tanium
- Zscaler
وقد صرحت Cloudflare قائلة: “نعتقد أن هذا الهجوم لم يكن حادث معزول، بل كان هدفه جمع بيانات الاعتماد ومعلومات العملاء استعداداً لهجمات مستقبلية”، وأضافت: “نظراً لعدد المؤسسات المتأثرة، نتوقع أن يستغل المهاجمون هذه المعلومات لشنّ هجمات موجهة على عملاء تلك المؤسسات”.
