Nach eigener Darstellung reagierte Grafana zunächst rasch auf den Vorfall: Das Unternehmen analysierte die Aktivität und rotierte eine erhebliche Zahl von GitHub-Workflow-Tokens. Ein übersehenes Token verschaffte den Angreifern jedoch Zugang zu den GitHub-Repositories. Eine spätere Überprüfung bestätigte, dass ein bestimmter GitHub-Workflow, der anfangs als nicht betroffen eingestuft worden war, tatsächlich kompromittiert worden war.

Der Ursprung des Einbruchs liegt im TanStack-npm-Lieferkettenangriff. Diesen ordnet Grafana der Gruppe TeamPCP zu, die nach Angaben des Unternehmens auch OpenAI und Mistral AI getroffen hat.

Am 16. Mai erhielt Grafana eine Erpressungsforderung eines nicht namentlich genannten Akteurs. Das Unternehmen entschied sich gegen eine Zahlung des Lösegelds: Es gebe keine Garantie, dass die gestohlenen Daten tatsächlich gelöscht würden, und eine Zahlung könne künftige Kampagnen erst recht befeuern.

In der Folge ergriff Grafana weitere Maßnahmen: Es rotierte Automatisierungstokens, führte eine verschärfte Überwachung ein, prüfte sämtliche Commits auf Anzeichen schädlicher Aktivität und stärkte insgesamt seine GitHub-Sicherheit.

Hinzu kommt, dass eine auf Datenerpressung spezialisierte Gruppe namens CoinbaseCartel Grafana Labs am 15. Mai 2026 auf ihrer Darknet-Seite auflistete. The Hacker News hat Grafana um eine Stellungnahme gebeten und will die Meldung bei einer Rückmeldung aktualisieren.

Parallel dazu teilte GitHub mit, unautorisierte Zugriffe auf seine internen Repositories zu untersuchen. Auslöser ist, dass der als TeamPCP bekannte Akteur den Quellcode der Plattform sowie interne Organisationen in einem Cybercrime-Forum zum Verkauf angeboten hat.