Salesloft

Selon Trend Micro, dans un contexte de « Threats and Vulnerabilities », une compromission de l’intégration AI Salesloft‑Drift a permis à l’acteur UNC6395 d’orchestrer une attaque supply chain à grande échelle. — L’attaque a débuté par la compromission du référentiel GitHub de Salesloft, d’où un jeton OAuth associé à leur compte Drift a été dérobé. Les assaillants ont ensuite pivoté vers des instances Salesforce connectées pour procéder à l’exfiltration de données. L’abus des modèles d’accès larges et de l’architecture de confiance des applications d’IA a permis à la campagne de rester indétectée pendant des mois. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...

Source: Salesloft Trust Portal — Mises à jour des 7, 11 et 13 septembre 2025. Salesloft détaille l’incident affectant Drift, confirme la poursuite de l’enquête et de la remédiation, et maintient l’application Drift hors ligne. Les clients sont priés de considérer toutes les intégrations Drift et les données associées comme potentiellement compromises. Parallèlement, l’intégration entre la plateforme Salesloft et Salesforce a été rétablie. Ce qui s’est passé (constats Mandiant au 6 sept. 2025) : ...

Source: Help Net Security (Zeljka Zorz), article du 2 septembre 2025. Contexte: la plateforme Salesloft (et son agent IA Drift) a subi une compromission d’intégrations OAuth, avec des impacts en chaîne sur Salesforce et Google Workspace. — Ce qui s’est passé Des attaquants ont utilisé des jetons OAuth compromis pour l’intégration Drift–Salesforce entre le 8 et le 18 août 2025 afin d’exfiltrer des données de certaines instances clients Salesforce. Le 28 août, le Google Threat Intelligence Group (GTIG) a confirmé la compromission de jetons OAuth pour l’intégration “Drift Email”. Le 9 août, un acteur a utilisé ces jetons pour accéder aux emails d’un très petit nombre de comptes Google Workspace. — Impact et cibles ...