Odaily星球日報訊:Grafana Labs 在 X 平台發文表示,於 5 月 16 日確認遭受針對性黑客攻擊。攻擊者透過 TanStack npm 供應鏈攻擊(Mini Shai-Hulud 活動)獲取其 GitHub 倉庫的未授權存取權限並下載了程式碼庫,隨後發出勒索威脅。
調查顯示,本次事件嚴格限於 Grafana Labs 的 GitHub 環境,沒有證據表明客戶的生產系統、運營或 Grafana Cloud 平台受到影響。下載的內容除源代碼外,還包括部分內部業務聯繫人的姓名和電子郵件。攻擊者雖下載了代碼庫,但未進行篡改。Grafana Labs 決定拒絕支付贖金,並已通報聯邦執法部門。目前正實施加強 CI/CD 管道安全等防禦措施。