広く使用されている監視プラットフォームを開発する同社は恐喝要求を拒否し、その後セキュリティを強化するための措置を講じました。
Grafana Labsは火曜日に、GitHub環境の侵害は今月初めのMini Shai-Hulud侵害に関連するTanStack npmサプライチェーン攻撃に起因したと述べました。
同社は土曜日に、脅威グループが漏洩したトークンを使用してGitHub環境にアクセスした後、そのコードベースをダウンロードしたと述べました。ハッカーはGrafana Labsを脅迫してコードベースをリークすると脅しましたが、同社は要求に応じることを拒否しました。
NvidiaやMicrosoft、Anthropicなど7,000以上の顧客がGrafanaの監視プラットフォームを使用しています。
Grafana CISOのJoe McManus氏の更新によると、火曜日にGrafanaはコードベースの侵害が、Webアプリケーション構築に使用される人気のあるオープンソースフレームワークであるTanStackへのサプライチェーン攻撃に起因することを確認しました。Team PCPとして追跡されている脅威グループはMini Shai-Hulud攻撃に関連しており、数百のnpmパッケージが侵害されました。TanStackは今月初めに、攻撃者が42個のパッケージ全体で84個の悪意のあるバージョンを公開したことを確認しました。
Grafanaは当初5月11日に悪意のある活動を検出し、初期対応の一環として「かなりの数」のGitHubワークフロートークンを迅速にローテーションしたと述べました。しかし、1つのトークンが見落とされており、ハッカーはそのトークンを使用して同社のGithubリポジトリにアクセスすることができました。
ハッカーは5月16日にGrafanaに連絡しましたが、身代金支払いが将来の攻撃を助長するだけだというFBIの指導により、同社は恐喝要求を拒否しました。
Grafanaは、攻撃の影響がGitHubリポジトリに限定されており、いくつかの公開および非公開のソースコード、ならびにGitHubの内部リポジトリが含まれていると述べました。
セキュリティを強化するため、Grafanaはオートメーショントークンをローテーションし、5月11日の事件以来のすべてのコミットを監査し、GitHub防御を強化したと述べました。
顧客の本番環境システムとリポジトリは攻撃の影響を受けませんでした。同社は同様の攻撃を防ぐために、継続的インテグレーションおよび継続的デプロイメントパイプラインをより適切に保護するための追加措置を講じています。
