Grafana wurde nach eigenen Angaben über ein kompromittiertes Token angegriffen, das Zugang zur GitHub-Umgebung von Grafana Labs verschaffte. Auf diesem Weg konnten die Angreifer die Codebasis herunterladen. Das Unternehmen betont, dass weder personenbezogene Daten noch Kundeninformationen abgeflossen seien und der Vorfall keine Auswirkungen auf Kundensysteme oder den Betrieb gehabt habe.

Die Täter forderten ein Lösegeld, um eine Veröffentlichung des Quellcodes zu verhindern. Grafana hat sich gegen eine Zahlung entschieden. Die betroffenen Zugangsdaten wurden zurückgesetzt, parallel läuft eine forensische Untersuchung. Nach deren Abschluss will das Unternehmen weitere Details nennen.

Aufgeführt wurde Grafana auf der Website der Gruppe Coinbase Cartel am 15. Mai. Zum Zeitpunkt der Berichterstattung waren dort jedoch keine Daten veröffentlicht. „Wir können Ihnen mehr Schaden zufügen, als Sie sich je vorstellen können“, zitiert der Bericht die Angreifer.

Die Gruppe ist seit September 2025 aktiv und nutzt keine dateiverschlüsselnde Ransomware. Stattdessen verlangt sie nach dem Diebstahl sensibler Daten ein Lösegeld. Auf ihrer Leak-Seite werden derzeit 105 Opfer geführt.

Sicherheitsfirmen sehen Coinbase Cartel in Verbindung mit ShinyHunters, Scattered Spider und Lapsus$, deren Mitglieder mindestens seit Mitte 2025 zusammenarbeiten; einzelne Hinweise deuten auf eine mögliche Kooperation bereits seit 2024 hin. Dieses Bündnis betreibt eine groß angelegte Datendiebstahl-Kampagne und nutzt den Namen ShinyHunters, um Angriffe auf mehrere namhafte Unternehmen zu signieren und für sich zu reklamieren. Genannt werden unter anderem Instructure, Vimeo, Wynn Resorts, Vercel und Medtronic.