Salesloft anunció el martes que se está desplazando temporalmente fuera de línea «en un futuro muy cercano», ya que varias compañías se han atrapado en una juerga de ataque de cadena de suministro de largo alcance que se dirige al producto de software de marketing como un servicio, lo que resulta en el robo masivo de tokens de autenticación.
«Esto proporcionará la ruta más rápida para revisar exhaustivamente la aplicación y crear resistencia y seguridad adicionales en el sistema para devolver la aplicación a la funcionalidad completa», la compañía dicho. «Como resultado, el chatbot a la deriva en los sitios web de los clientes no estará disponible, y no será accesible la deriva».
La compañía dijo que su máxima prioridad es garantizar la integridad y la seguridad de sus sistemas y datos de clientes, y que está trabajando con socios de ciberseguridad, Mandiant y Coalition, como parte de sus esfuerzos de respuesta a incidentes.
El desarrollo se produce después del Grupo de Inteligencia de Amenazos de Google (GTIG) y Mandiant revelado Lo que dijo fue una campaña de robo de datos generalizada que ha aprovechado la OAuth robada y refrescó tokens asociados con el agente de chat de inteligencia artificial (IA) de Drift para violar las instancias de Salesforce de los clientes.
«A partir del 8 de agosto de 2025, hasta al menos el 18 de agosto de 2025, el actor se dirigió a las instancias de los clientes de Salesforce a través de tokens OAuth comprometidos asociados con la aplicación de terceros de SalesLoft Drift», dijo la compañía la semana pasada.
La actividad se ha atribuido a un clúster de amenazas denominado UNC6395 (también conocido como GRUB1), y Google le dice a The Hacker News que más de 700 organizaciones pueden haber sido potencialmente afectadas.
Si bien se afirmó inicialmente que la exposición se limitó a la integración de Salesloft con Salesforce, desde entonces ha surgido que cualquier plataforma integrada con Drift está potencialmente comprometida. Exactamente cómo la amenaza que los actores obtuvieron acceso inicial a la deriva de SalesLoft se desconocen en esta etapa.
El incidente también ha llevado a Salesforce a deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce como una medida de precaución. Algunas de las empresas que han confirmado ser afectadas por la violación son los siguientes
«Creemos que este incidente no fue un evento aislado, sino que el actor de amenaza tenía la intención de cosechar credenciales e información del cliente para futuros ataques», dijo Cloudflare.
«Dado que cientos de organizaciones se vieron afectadas a través de este compromiso de deriva, sospechamos que el actor de amenaza utilizará esta información para lanzar ataques específicos contra los clientes en las organizaciones afectadas».
Fuente