Message de BlockBeats, le 20 mai, Grafana Labs a publié une mise à jour de sécurité indiquant que l'entreprise a confirmé le 16 mai avoir subi une attaque ciblée, durant laquelle l'attaquant a obtenu un accès non autorisé et téléchargé son dépôt de code via un dépôt GitHub, avant de faire une demande de rançon.
L'entreprise a indiqué que cet événement provenait d'une campagne d'attaque impliquant la chaîne d'approvisionnement TanStack npm, les attaquants ayant exploité, après avoir obtenu un accès initial, un jeton de workflow GitHub oublié pour pénétrer l'environnement de dépôt interne de l'entreprise.
Grafana Labs souligne que, jusqu'à présent, aucune influence n'a été constatée sur les systèmes de production des clients ou sur la plateforme Grafana Cloud ; l'incident est limité à l'environnement GitHub de l'entreprise, incluant le code source et certains dépôts internes de collaboration, mais le code n'a pas été modifié.
L'entreprise précise que les données téléchargées, en plus du code source, pourraient inclure des informations internes sur les opérations ainsi que les noms et adresses e-mail des contacts commerciaux, mais ne concernent pas les données des systèmes de production.
L'attaquant a ensuite exigé le paiement d'une rançon pour empêcher la fuite du code, mais Grafana Labs a déclaré avoir refusé de payer et avoir collaboré avec les autorités judiciaires pour mener une enquête.
L'entreprise a mis en œuvre une série de mesures de sécurité, notamment la rotation des jetons automatisés, le renforcement de la surveillance, l'audit des journaux de soumission et le renforcement de la sécurité CI/CD, et a indiqué qu'elle publiera un rapport complet post-incident.