كشفت Salesloft عن حادث اختراق طويل الأمد طال حسابها على GitHub، امتد تأثيره ليشمل تطبيق Drift وتسبب في سرقة رموز OAuth ترتبط بتكاملات حساسة لدى عشرات العملاء، من بينهم شركات تقنية كبرى.
بحسب شركة Mandiant، التي تتولى التحقيق بالنيابة عن Salesloft، فإن ممثل التهديد، والمعروف باسم UNC6395، كان قد وصل إلى بيئة GitHub الخاصة بالشركة في الفترة ما بين مارس ويونيو 2025، وتمكن من تنزيل محتوى من مستودعات متعددة، وإضافة مستخدم ضيف، وتفعيل سلاسل عمل ضارة. ورصدت الشركة أنشطة استطلاع داخل بيئتي Salesloft وDrift خلال الفترة ذاتها، من دون مؤشرات تؤكد اختراقاً عميقاً في بيئة Salesloft نفسها.
علاوة على ذلك، تؤكد Mandiant أن المهاجمين استخدموا هذا المسار للوصول إلى بيئة Amazon Web Services ضمن Drift، وتمكنوا من الحصول على رموز OAuth المستخدمة في تكاملات العملاء. وقد جرى لاحقاً استخدام هذه الرموز للوصول إلى بيانات مخزنة عبر تلك التكاملات.
من جانبها، أشارت Cloudflare إلى أن الحادث أدى إلى اختراق مئات من مثيلات Salesforce، فيما أكد ما لا يقل عن 22 كياناً تأثرهم، من بينهم Google وZscaler وCloudflare وPalo Alto Networks وBeyondTrust وBugcrowd وCato Networks وCyberArk وElastic وJFrog وNutanix وPagerDuty وRubrik وSpyCloud وTanium.
لا تزال التحقيقات جارية لتحديد نقطة الدخول الأولية إلى GitHub. وتتعامل Mandiant مع العملية تحت مسمى UNC6395، بينما ذكرت Cloudflare وجود تقاطع مع مجموعة سمتها GRUB1، فيما أشارت Google إلى تداخل محتمل مع مجموعة ShinyHunters.
عزل Drift وتدوير المفاتيح
في إطار احتواء الحادث، نفذت Salesloft عملية فصل كاملة لبنى وتطبيق Drift، بما يشمل تدوير جميع المفاتيح واعتماد عزل تقني بين البيئتين. وتم إخراج Drift عن الخدمة في الخامس من سبتمبر 2025 عند الساعة الواحدة ظهراً بتوقيت المملكة العربية السعودية، بينما أعادت Salesforce تفعيل التكاملات مع Salesloft في السابع من سبتمبر نحو الساعة التاسعة مساء بتوقيت المملكة، باستثناء Drift الذي لا يزال خارج الخدمة حتى إشعار آخر.
بهذا الصدد، أكدت Mandiant أن عمليات الاستجابة تضمنت تدقيقاً شاملاً وضوابط تقسيم تقني فعالة، ووصفت الحادث بأنه بات “قيد الاحتواء” عند هذه المرحلة. في المقابل، تنصح Salesloft العملاء بإلغاء المفاتيح الحالية لأي تطبيقات طرف ثالث تعتمد على Drift، ضمن خطوات تقليل المخاطر المستقبلية.
