Масштабная атака на цепочку поставок, затронувшая как минимум 22 компании, началась с компрометации GitHub-аккаунта компании Salesloft. Злоумышленник, отслеживаемый под кодовым названием UNC6395, использовал этот первоначальный доступ для проникновения в приложение Drift, принадлежащее Salesloft, и похищения токенов интеграции клиентов.
В период с марта по июнь 2025 года киберпреступник UNC6395 имел доступ к GitHub-репозиториям Salesloft. В это время он скачивал контент из различных хранилищ, добавил гостевого пользователя и внедрил вредоносные рабочие процессы для закрепления в системе.
Параллельно с действиями в GitHub, в тот же период с марта по июнь, злоумышленник проводил разведку в средах приложений Salesloft и Drift. Расследование, проведенное фирмой Mandiant, принадлежащей Google, установило, что на этом этапе не было зафиксировано «никаких свидетельств активности, выходящей за рамки ограниченной разведки».
Следующим шагом атаки стал переход в облачную инфраструктуру. UNC6395 получил доступ к среде Amazon Web Services (AWS), в которой работало приложение Drift. Основной целью этого маневра было получение OAuth-токенов, используемых для технологических интеграций клиентов Drift со сторонними сервисами.
Используя похищенные OAuth-токены, злоумышленник получил доступ к данным клиентов через их активные интеграции с Drift. Именно этот механизм, при котором атака на одного поставщика услуг приводит к компрометации его клиентов, классифицирует инцидент как атаку на цепочку поставок.
В ответ на инцидент компания Salesloft предприняла решительные действия. 5 сентября 2025 года в 6 часов утра по восточному времени приложение Drift было полностью отключено. Для расследования была привлечена компания Mandiant. Инфраструктура, приложение и код Drift были изолированы от основной платформы Salesloft.
В рамках мер по усилению безопасности Salesloft провела ротацию всех учетных данных в своей среде и улучшила контроль сегментации между приложениями Salesloft и Drift. Это было сделано для предотвращения подобных инцидентов в будущем.
Компания также выпустила рекомендацию для своих клиентов. Всем сторонним приложениям, использующим API-ключ Drift, было посоветовано «проактивно отозвать существующий ключ» для предотвращения несанкционированного доступа.
Одним из ключевых затронутых партнеров стал Salesforce. 28 августа 2025 года компания временно приостановила свою интеграцию с платформой Salesloft, что стало одним из первых публичных признаков проблемы.
По состоянию на 7 сентября 2025 года Salesforce восстановила интеграцию с технологиями Salesloft. Однако было сделано критическое исключение: интеграция с приложением Drift остается отключенной до дальнейшего уведомления.
Изображение носит иллюстративный характер
В период с марта по июнь 2025 года киберпреступник UNC6395 имел доступ к GitHub-репозиториям Salesloft. В это время он скачивал контент из различных хранилищ, добавил гостевого пользователя и внедрил вредоносные рабочие процессы для закрепления в системе.
Параллельно с действиями в GitHub, в тот же период с марта по июнь, злоумышленник проводил разведку в средах приложений Salesloft и Drift. Расследование, проведенное фирмой Mandiant, принадлежащей Google, установило, что на этом этапе не было зафиксировано «никаких свидетельств активности, выходящей за рамки ограниченной разведки».
Следующим шагом атаки стал переход в облачную инфраструктуру. UNC6395 получил доступ к среде Amazon Web Services (AWS), в которой работало приложение Drift. Основной целью этого маневра было получение OAuth-токенов, используемых для технологических интеграций клиентов Drift со сторонними сервисами.
Используя похищенные OAuth-токены, злоумышленник получил доступ к данным клиентов через их активные интеграции с Drift. Именно этот механизм, при котором атака на одного поставщика услуг приводит к компрометации его клиентов, классифицирует инцидент как атаку на цепочку поставок.
В ответ на инцидент компания Salesloft предприняла решительные действия. 5 сентября 2025 года в 6 часов утра по восточному времени приложение Drift было полностью отключено. Для расследования была привлечена компания Mandiant. Инфраструктура, приложение и код Drift были изолированы от основной платформы Salesloft.
В рамках мер по усилению безопасности Salesloft провела ротацию всех учетных данных в своей среде и улучшила контроль сегментации между приложениями Salesloft и Drift. Это было сделано для предотвращения подобных инцидентов в будущем.
Компания также выпустила рекомендацию для своих клиентов. Всем сторонним приложениям, использующим API-ключ Drift, было посоветовано «проактивно отозвать существующий ключ» для предотвращения несанкционированного доступа.
Одним из ключевых затронутых партнеров стал Salesforce. 28 августа 2025 года компания временно приостановила свою интеграцию с платформой Salesloft, что стало одним из первых публичных признаков проблемы.
По состоянию на 7 сентября 2025 года Salesforce восстановила интеграцию с технологиями Salesloft. Однако было сделано критическое исключение: интеграция с приложением Drift остается отключенной до дальнейшего уведомления.
