Der Sicherheitsvorfall bei Grafana Labs offenbart ein klassisches Supply-Chain-Angriffsszenario: Die Kompromittierung beginnt nicht direkt beim Zielunternehmen, sondern über eine beliebte Open-Source-Komponente. TeamPCP infizierte ein npm-Paket der TanStack-Bibliothek, durch das Grafana Labs und andere prominente Tech-Unternehmen infiziert wurden. Das Unternehmen entdeckte die verdächtige Aktivität am 11. Mai 2026.
Nach eigenen Angaben waren die Eindringlinge zunächst begrenzt, doch ein übersehenes GitHub-Workflow-Token ermöglichte ihnen weiteren Zugriff auf interne Repositories. Die Angreifer gelangten so an Quellcode, interne operative Informationen, Geschäftskontakte und E-Mail-Adressen — allerdings keine Produktionsdaten oder Kundeninformationen.
Grafana erhielt am 16. Mai eine Erpressungsforderung, lehnte aber eine Zahlung ab. Das Unternehmen begründet dies nachvollziehbar damit, dass eine Löschmeldung nicht garantiert werden kann und das die Basis für zukünftige Kampagnen bieten könnte. Zwölf Tage später listete die Hacker-Gruppe CoinbaseCartel Grafana Labs auf ihrer Dark-Web-Plattform auf.
Zur Schadenbegrenzung führte Grafana umfangreiche Maßnahmen durch: GitHub-Workflow-Tokens wurden rotiert, verbesserte Überwachung aktiviert, alle Commits überprüft und die GitHub-Sicherheitsinfrastruktur verstärkt.
Für deutsche Organisationen, die Grafana nutzen, gibt es Entwarnung bezüglich ihrer Daten. Allerdings unterstreicht der Fall die BSI-Empfehlungen zu Lieferkettenrisiken. Die Meldepflicht nach DSGVO (Art. 33) trifft Grafana hier nicht für Kundendaten, da keine personenbezogenen Daten von Nutzern kompromittiert wurden. Unternehmen sollten aber ihre eigenen Abhängigkeits-Managementprozesse überprüfen und npm-Pakete regelmäßig auf Kompromittierungen hin scannen.