Odaily星球日報によると、Grafana LabsはXプラットフォームで、5月16日に標的型ハッキング攻撃を受けたことを確認したと発表しました。攻撃者はTanStack npmサプライチェーン攻撃(Mini Shai-Hulud活動)を通じて、GitHubリポジトリへの不正アクセスを取得し、コードベースをダウンロードした後、身代金要求をしました。
調査によると、今回の事件はGrafana LabsのGitHub環境に厳密に限定されており、顧客の本番システム、運用、またはGrafana Cloudプラットフォームに影響があったという証拠は一切ありません。ダウンロードされたコンテンツにはソースコードに加え、一部の内部ビジネス連絡先の名前と電子メールアドレスが含まれていました。攻撃者はコードリポジトリをダウンロードしましたが、改ざんは行っていません。Grafana Labsは身代金の支払いを拒否し、連邦法執行機関に通報しました。現在、CI/CDパイプラインのセキュリティ強化などの防御措置を実施しています。