近期 Google 威脅分析團隊（TAG）與 Mandiant 合作，揭露了一個由 UNC6395 組織發動的複雜網路攻擊，目標是 Salesforce 企業帳戶。此攻擊活動發生於 2025 年 8 月，其獨特之處在於攻擊者並未利用 Salesforce 平台本身的漏洞，而是轉向第三方應用程式。

UNC6395 鎖定 Salesloft Drift，這是一個整合在 Salesforce AppExchange 上的應用程式。攻擊者透過竊取其 OAuth 權杖，成功繞過傳統的多重驗證（MFA）保護機制，並以「非人類身分（NHI）」進入受害者的 Salesforce 帳戶。一旦進入系統，攻擊者便開始大量竊取企業客戶資料、使用者憑證、AWS 存取金鑰及 Snowflake 權杖等敏感資訊。

為了掩蓋行蹤，UNC6395 曾嘗試刪除查詢工作紀錄，但其行為仍被 Google 與 Mandiant 監控並記錄下來。為應對此緊急情況，Salesforce 與 Salesloft 立即撤銷了所有與 Drift 應用程式相關的活動權杖，並暫時將其從 AppExchange 下架。

此事件凸顯了管理第三方應用程式和非人類身分憑證的重要性。資安專家建議企業應加強存取控制、定期輪換憑證、並強制實施 IP 限制，以有效防範類似的權杖竊取攻擊。