أعلنت شركة Gainsight أن الأنشطة المشبوهة التي استهدفت تطبيقاتها خلال الفترة الأخيرة قد طالت عددًا من العملاء يفوق ما كان مُعلنًا سابقًا. وأوضحت الشركة أن Salesforce زوّدتها في البداية بقائمة تضم ثلاثة عملاء متأثرين، قبل أن يتم توسيع القائمة في 21 نوفمبر 2025 إلى عدد أكبر لم يُكشف عنه رسميًا. ورغم ذلك، أكد الرئيس التنفيذي تشاك غاناباثي أن “ما نعرفه حاليًا لا يتجاوز عددًا محدودًا من العملاء الذين تضررت بياناتهم بالفعل”.
ويأتي هذا التطور عقب تحذير Salesforce من نشاط غير معتاد طال التطبيقات التي تنشرها Gainsight عبر منصتها، ما دفعها إلى إلغاء جميع رموز الوصول وتجديد الرموز المرتبطة بهذه التطبيقات. وقد تبنّت مجموعة ShinyHunters، المعروفة أيضًا باسم Bling Libra، مسؤولية الاختراق.
كما اتخذت عدة شركات إجراءات احترازية لاحتواء الحادث، من بينها Zendesk وGong.io وHubSpot التي أوقفت مؤقتًا تكاملاتها مع Gainsight، بينما قامت Google بتعطيل عملاء OAuth المرتبطين بنطاق gainsightcloud[.]com. وأكدت HubSpot في بيان مستقل أنها لم تجد أي دليل على تعرّض بنيتها التحتية أو عملائها لأي اختراق.
تعليق التكاملات وتأثيرات الحادث على المنتجات
أدرجت Gainsight في قسم الأسئلة الشائعة قائمة بالمنتجات التي تعطّلت فيها إمكانية القراءة والكتابة من Salesforce، وتشمل:
Customer Success (CS)، Community (CC)، Northpass Customer Education (CE)، Skilljar (SJ)، وStaircase (ST).
وشددت الشركة على أن منتج Staircase لم يتأثر وأن قطع اتصال Salesforce به جاء بدافع الحذر أثناء سير التحقيق.
ونشرت كل من Salesforce وGainsight مؤشرات اختراق (IoCs) مرتبطة بالحادث، من بينها سلسلة وكيل مستخدم استُخدمت للوصول غير المصرح به: Salesforce-Multi-Org-Fetcher/1.0، والتي سبق الإبلاغ عنها في نشاط مرتبط بمنصة Salesloft Drift.
وبحسب بيانات Salesforce، بدأت أولى محاولات الاستطلاع ضد العملاء الذين تعرّضت رموز وصول Gainsight لديهم للاختراق في 23 أكتوبر 2025 من العنوان 3.239.45[.]43، قبل أن تتبعها موجات متتالية من الاستطلاع والوصول غير المصرح به اعتبارًا من 8 نوفمبر.
إجراءات الأمان المطلوبة من العملاء
طالبت Gainsight العملاء باتخاذ سلسلة من الخطوات لتعزيز أمان بيئاتهم التقنية، تشمل:
-
تدوير مفاتيح الوصول الخاصة بحاويات S3 والموصلات الأخرى مثل BigQuery وZuora وSnowflake عند استخدامها مع Gainsight
-
تسجيل الدخول مباشرة إلى Gainsight NXT بدلًا من Salesforce لحين عودة التكامل
-
إعادة تعيين كلمات مرور مستخدمي NXT الذين لا يعتمدون على SSO
-
إعادة تفويض التطبيقات والدمجيات المتصلة التي تستخدم بيانات اعتماد أو رموزًا صالحة
وأكدت الشركة أن “هذه الخطوات وقائية بطبيعتها وتهدف إلى ضمان بقاء بيئاتكم آمنة بالتزامن مع استمرار التحقيق”.
تحالفات إجرامية وتطورات في مشهد برامج الفدية
تزامن الحادث مع ظهور منصة ShinySp1d3r (المعروفة أيضًا Sh1nySp1d3r)، وهي خدمة جديدة من نمط البرمجيات الفدية كخدمة (RaaS)، يجري تطويرها من قبل تحالف يضم Scattered Spider وLAPSUS$ وShinyHunters (SLSH). وأظهرت بيانات ZeroFox أن هذا التحالف نفذ ما لا يقل عن 51 هجومًا خلال العام الماضي.
وتقول التقارير إن أداة التشفير الجديدة تتميز بقدرات غير مسبوقة في مجال الـRaaS، من بينها: تعطيل تسجيل أحداث Windows عبر اعتراض وظيفة EtwEventWrite، وإنهاء العمليات التي تبقي الملفات مفتوحة لمنع التشفير، إضافة إلى ملء المساحة الفارغة على الأقراص ببيانات عشوائية لإتلاف الملفات المحذوفة. كما تمتلك القدرة على البحث عن المشاركات الشبكية المفتوحة وتشفيرها، والانتشار داخل الشبكات المحلية عبر آليات deployViaSCM وdeployViaWMI وattemptGPODeployment.
وفي تقرير حديث، كشف الصحفي الأمني برايان كريبس عن هوية الشخص الذي يقف خلف نشر شيفرة ShinySp1d3r، وهو عضو أساسي في SLSH يُدعى “Rey” (@ReyXBF)، واسمه الحقيقي سيف الدين خضر، وكان سابقًا من مديري BreachForums وموقع تسريبات HellCat. وأفاد أنه أعاد بناء الأداة اعتمادًا على HellCat مع تعديلات مدعومة بالذكاء الاصطناعي، وأنه يتعاون مع سلطات إنفاذ القانون منذ يونيو 2025.
ويرى الباحث مات برادي من وحدة 42 لدى Palo Alto Networks أن الجمع بين نموذج الفدية كخدمة (RaaS) والابتزاز كخدمة (EaaS) يجعل SLSH خصمًا بالغ الخطورة، خاصة مع اعتمادها على تجنيد المطلعين داخل المؤسسات، ما يضيف طبقة تهديد معقدة تتطلب استعدادًا مضاعفًا من الشركات.
