Mensaje de BlockBeats, 20 de mayo: Grafana Labs lanzó una actualización de seguridad indicando que el 16 de mayo confirmó un ataque cibernético dirigido, en el que el atacante obtuvo acceso no autorizado y descargó su repositorio de código a través de un repositorio de GitHub, y posteriormente exigió un rescate.
La empresa indicó que el incidente se originó en una campaña de ataque que involucró la cadena de suministro de TanStack npm; tras obtener acceso inicial, los atacantes aprovecharon un token de flujo de trabajo de GitHub olvidado para acceder exitosamente al entorno de los repositorios internos de la empresa.
Grafana Labs enfatiza que, hasta el momento, la investigación no ha encontrado ningún impacto en los sistemas de producción de los clientes ni en la plataforma Grafana Cloud; el alcance del incidente se limita al entorno GitHub de la empresa, incluyendo el código fuente y parte del contenido de los repositorios internos de colaboración, pero el código no ha sido alterado.
La empresa señaló que los datos descargados, además del código fuente, podrían incluir información operativa interna y nombres y correos electrónicos de contactos comerciales, pero no involucran datos del sistema de producción.
The attacker then demanded a ransom to prevent the code leak, but Grafana Labs stated that it refused to pay and has cooperated with law enforcement agencies in the investigation.
La empresa ha implementado una serie de medidas de seguridad, incluyendo la rotación de tokens automatizados, el fortalecimiento de la monitorización, la auditoría de registros de envío y la mejora de la seguridad de CI/CD, y anunció que publicará un informe completo posterior al incidente.