HASH GAME - Online Skill Game GET 300调查显示，攻击者在3月至6月间访问Salesloft的GitHub环境，下载代码并添加恶意账户，为后续攻击铺垫。7月，攻击者侵入Drift的AWS环境，窃取用于集成Salesforce和Google Workspace的OAuth令牌，进而盗取客户数据。Salesloft已轮换凭证并强化防御，目前未发现持续驻留迹象。此次攻击被归因于UNC6395组织，但安全机构指出ShinyHunters及Scattered Spider团伙也参与其中。Salesloft与Salesforce的集成现已恢复，但建议用户排查日志、撤销密钥并扫描代码库残留凭据。

　　此次攻击的独特之处在于，恶意软件调用本地安装的AI命令行工具（如Claude、Gemini等），通过LLM提示词自动搜索并提取敏感信息。研究人员发现，攻击者不断调整提示词以提升窃取效率，甚至尝试使用“渗透测试”等术语规避AI伦理限制。攻击分三阶段推进：初期直接感染1700名用户，泄露2000多个密钥；随后利用盗取的令牌将480个组织的6700个私有库转为公开；最后针对特定企业追加泄露500个私有库。尽管GitHub在8小时后关闭恶意仓库，但数据已被复制，且许多密钥仍有效，潜在影响持续扩大。