Grafana Labsは、進行中のTanStack npm供給チェーンランサムウェアキャンペーンに関連した標的型GitHubセキュリティインシデントを開示し、ソフトウェア開発パイプラインのセキュリティとトークン管理プラクティスに関する懸念を招いています。
同社は、攻撃者が侵害されたワークフロートークンを悪用してGitHubリポジトリへの不正アクセスを獲得したことを確認しました。2026年5月11日に検出されたこの侵害は、以前TanStack npmパッケージに影響を与えた広範な供給チェーン攻撃である「Mini Shai-Hulud」キャンペーンと関連しています。
Grafana Labsによると、攻撃者はそのコードベースの一部をダウンロードしました。その後、5月16日に身代金を要求し、盗まれたデータを公開することを脅迫しました。組織は身代金の支払いを拒否し、身代金支払いを推奨しない法執行機関の指導に合致しています。
GrafanaのGitHubセキュリティインシデント
Grafanaの調査では、インシデントはGitHub環境内に限定されており、顧客向けシステムやGrafana Cloudプラットフォームに影響を与えなかったことが示されています。
- 公開および非公開のソースコードリポジトリ
- チーム協業に使用される内部運用リポジトリ
- 名前やプロフェッショナルメールアドレスなどのビジネス連絡先情報
同社は、コードベースにアクセスされ、ダウンロードされたものの、コード改ざんや悪意のある修正の証拠がないことを強調しました。
侵害は、TanStack npm供給チェーン攻撃に関連する侵害されたGitHub Actionsワークフロートークンから発生しました。Grafanaは疑わしいアクティビティを検出した後に多数のトークンをローテーションしましたが、少なくとも1つのトークンは見落とされました。
その後の分析により、初めは影響を受けていないと考えられていたGitHubワークフローが、実際には侵害されていたことが判明しました。これにより、攻撃者はアクセスを維持し、リポジトリデータを流出させることができました。
このケースは、一般的な供給チェーンリスクを浮き彫りにしています。インシデント対応中の不完全な認証情報のローテーションは、攻撃者のための残存アクセスポイントを残す可能性があります。
緩和と対応
Grafana Labsは、以下を含む直ちなインシデント対応措置を開始しました:
- GitHubワークフローと自動化トークンのローテーション
- 5月11日以降のコミットとリポジトリアクティビティの包括的な監査
- GitHub環境全体の監視とテレメトリ分析の強化
- CI/CDパイプラインのセキュリティ強化
- 連邦法執行当局への通知
同社は、法医学的分析を継続し、調査が完了したら詳細なインシデント後報告書を公開すると述べました。
このインシデントは、特にnpmパッケージとCI/CDワークフローを対象とした開発者エコシステムを標的とした供給チェーン攻撃の増加する脅威を強調しています。攻撃者は、侵害された依存関係と自動化トークンを利用して、エンタープライズ環境にピボットするようになっています。
組織にとって、Grafanaのケースは以下の重要性を示しています:
- インシデント対応中の完全な認証情報のローテーション
- CI/CDパイプラインの継続的な監視
- 厳格なアクセス制御とトークンライフサイクル管理
侵害にもかかわらず、Grafanaはユーザーに対して、顧客システムまたはサービスへの影響の証拠がないため、アクションは不要であると保証しました。
翻訳元: https://gbhackers.com/grafana-github-security-incident/
