Salesloft Drift平台遭受重大供应链攻击：GitHub入侵引发大规模Salesforce数据窃取

Sales Dashboard Software for Sales Performance ForecastingSalesloft近日披露攻击者最早于2025年3月入侵其GitHub账户随后窃取了Drift平台的OAuth令牌。这些令牌在8月被恶意用于针对Salesforce的大规模数据窃取攻击。Salesloft是一款广泛应用于企业销售互动的平台主要帮助团队管理客户拓展、销售沟通及流程自动化。其旗下Drift平台则专注于对话式营销通过AI驱动的聊天机器人和自动化工具将客户互动无缝集成到销售流程中支持与Salesforce等主流CRM系统的深度对接。这一事件已成为8月末首次公开的重大供应链式攻击核心。谷歌威胁情报团队将主要攻击归因于威胁组织UNC6395同时勒索团伙ShinyHunters以及自称Scattered Spider的威胁者也参与其中针对Salesloft Drift展开多轮攻击。攻击源头GitHub账户遭入侵Salesloft于8月21日首次披露Drift应用存在安全隐患5天后进一步公布OAuth令牌被滥用的细节。此次攻击已导致众多Salesloft客户遭遇大规模Salesforce数据窃取受影响企业包括谷歌、Zscaler、Cloudflare、Workiva、Tenable、JFrog、Bugcrowd、Proofpoint、Palo Alto Networks等且名单仍在持续扩大。攻击者主要目标是窃取Salesforce实例中的支持工单从中提取凭据、身份验证令牌及其他敏感信息。Salesloft在8月26日的更新中明确指出“初步调查显示攻击者的核心目的是窃取凭据特别是AWS访问密钥、密码以及Snowflake访问令牌等关键敏感信息。”GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)Mandiant公司协助调查后确认攻击者早在2025年3月至6月期间就已入侵Salesloft的GitHub环境。他们从多个仓库下载代码、添加访客用户账户并创建恶意工作流为后续攻击铺设后门。同时攻击者在Salesloft与Drift环境中开展侦察活动并在入侵Drift的AWS环境后成功窃取了用于访问Salesforce、Google Workspace等跨平台客户数据的OAuth令牌。What Salesforce Organizations Need to Know About ShinyHunters and Vishing后续处置与服务恢复Salesloft已迅速采取多项应对措施包括轮换所有凭据、强化防御机制、验证并隔离Drift环境。目前Drift的基础设施已完成全面隔离和凭据重置。在Mandiant的协助下公司完成了全面威胁溯源未发现其他残留入侵痕迹确认威胁者已撤离环境。Mandiant验证此次威胁已得到有效遏制重点转向取证质量保证审查。Mandiant Cybersecurity Consulting | Google CloudSalesloft最新更新显示在因安全事件采取预防性暂停措施后已全面恢复与Salesforce的集成服务。Salesforce用户现在可正常使用Salesloft全部集成功能公司还为需要执行数据同步的用户提供了详细分步指导帮助企业快速恢复业务连续性。此次事件再次凸显供应链安全的重要性企业需持续加强第三方集成平台的凭据管理和访问控制以防范类似OAuth令牌滥用风险。