Ataque ao GitHub da Salesloft compromete 22 empresas por meio do aplicativo Drift

Um recente ataque cibernético que afetou diversas empresas começou com a invasão de uma conta da Salesloft no GitHub, conforme revelou a própria companhia. O incidente, que resultou em uma violação de dados por meio do aplicativo Drift, teve como alvo inicial os repositórios de código-fonte da empresa, levando a um comprometimento em cadeia de 22 organizações parceiras.

A investigação, conduzida pela Mandiant, uma empresa de segurança da Google, identificou que um hacker, rastreado como UNC6395, obteve acesso à conta da Salesloft no GitHub e a explorou de março a junho de 2025. Durante esse período, o invasor conseguiu realizar uma série de atividades maliciosas.

"Com esse acesso, o hacker conseguiu baixar conteúdo de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho", declarou a Salesloft em um comunicado atualizado. A investigação também revelou que houve atividades de reconhecimento nos ambientes de aplicação da Salesloft e do Drift, indicando que o invasor estava mapeando a infraestrutura antes de prosseguir com o ataque.

Após a fase de reconhecimento, o hacker conseguiu acessar o ambiente da Amazon Web Services (AWS) do Drift. Nesse ponto, foram roubados tokens de autenticação OAuth de clientes que usavam integrações do Drift. Esses tokens foram então usados para obter acesso a dados por meio das integrações tecnológicas dos clientes, caracterizando uma grave violação na cadeia de suprimentos.

Em resposta ao incidente, a Salesloft agiu rapidamente, isolando a infraestrutura, a aplicação e o código do Drift. O aplicativo foi colocado offline em 5 de setembro de 2025 para mitigar os danos. Além disso, a empresa rotacionou credenciais em seu ambiente e implementou controles de segmentação mais rigorosos entre as aplicações Salesloft e Drift para fortalecer a segurança.

A Salesloft recomendou que todas as empresas que utilizavam o Drift por meio de chaves de API revogassem suas chaves existentes para evitar futuros acessos não autorizados.

Em 7 de setembro de 2025, a Salesforce, que havia suspendido temporariamente as integrações com a Salesloft, restaurou a conexão. No entanto, a Salesforce manteve as integrações com o aplicativo Drift desabilitadas, aguardando novas medidas de segurança por parte da Salesloft para garantir a proteção dos dados dos clientes.

"A Salesforce reativou as integrações com as tecnologias Salesloft, com exceção de qualquer aplicativo Drift," disse a Salesforce. "O Drift permanecerá desabilitado até novo aviso como parte da nossa resposta contínua ao incidente de segurança."

A situação ressalta a vulnerabilidade das empresas a ataques na cadeia de suprimentos, onde a invasão de um único fornecedor pode comprometer a segurança de dezenas de clientes. O incidente também serve como um lembrete crucial para a importância de monitorar e proteger continuamente as contas de desenvolvedores, como as do GitHub, que frequentemente servem como porta de entrada para invasores.

Via - THN