De aanvaller die verantwoordelijk is voor de supply chain-aanval op Salesloft Drift had van maart tot en met juni 2025 toegang tot het GitHub-account van Salesloft, meldt Salesloft in een update. Dit stelde de aanvaller in staat content te downloaden uit meerdere repositories, een gastaccount toe te voegen en workflows op te zetten.

Salesloft is een sales engagement platform. Het biedt onder de naam Drift een chat applicatie aan die kan worden geïntegreerd met verschillende applicaties, waaronder de populaire CRM-oplossing Salesforce. Bij de aanval zijn tokens buitgemaakt die gebruikt zijn voor de koppeling tussen Drift en omgevingen van klanten. Zo wisten de aanvallers bij diverse partijen data buit te maken.

De aanval is door Salesloft in samenwerking met Mandiant onderzocht. Hieruit blijkt onder meer dat de aanvaller tussen maart en juni 2025 verkennende activiteiten uitvoerde in de applicatieomgevingen van Salesloft en Drift. Vervolgens wist de aanvaller door te dringen in de AWS-omgeving van Drift en maakte hier OAuth-tokens buit voor integraties tussen Drift en klantomgevingen. Deze tokens zijn vervolgens gebruikt voor het stelen van data.

Salesloft zet in de update ook uiteen welke stappen het heeft genomen in reactie op de aanval. Zo zijn de Drift-infrastructuur, -applicatie en -code geïsoleerd, is de Drift-applicatie uit de lucht gehaald en zijn getroffen inloggegevens gewijzigd. Daarnaast zijn ook inloggegevens voor de Salesloft-omgeving gewijzigd en is gezocht naar aanvullende Indicators of Compromise (IoC's), die niet zijn aangetroffen. Ook zijn aanvullende maatregelen genomen om verdere aanvallen af te slaan.