HackerangriffeSchwachstellenCyberkriminalität

Grafana-Datenpanne: Vergessenes Token ermöglichte Zugriff nach TanStack-Anschlag

Von CyberDeutsch Redaktion
Grafana-Datenpanne: Vergessenes Token ermöglichte Zugriff nach TanStack-Anschlag
Zusammenfassung

Der Grafana-Datenschutzvorfall zeigt ein klassisches Szenario moderner Softwarelieferketten-Angriffe: Die Anwendung des beliebten Monitoring-Tools vertraute auf ein npm-Paket von TanStack, das von der Hacker-Gruppe TeamPCP mit Malware infiziert wurde. Ein Credential-Stealer-Modul exfiltrierte GitHub-Workflow-Token aus Grafanas CI/CD-Umgebung. Obwohl das Unternehmen schnell reagierte und die meisten Token rotierte, wurde ein kritisches Token übersehen – genau dieses ermöglichte den Angreifern Zugriff auf private Repositories und den Diebstahl von Quellcode sowie Geschäftskontaktdaten. Während Grafana versichert, dass keine Kundendaten oder produktiven Systeme kompromittiert wurden und der Code sicher bleibt, offenbart der Vorfall erhebliche Risiken für deutsche Unternehmen und Behörden. Deutsche IT-Organisationen, die auf Open-Source-Dependencies angewiesen sind, müssen ihre Token-Management-Prozesse überprüfen, Supply-Chain-Risiken strenger bewerten und automatisierte Rotationsmechanismen implementieren. Der Incident unterstreicht die wachsende Bedrohung durch koordinierte Angriffe auf npm-Ökosystem und die Notwendigkeit, Deutschland als IT-Standort durch robustere Sicherheitsstandards in der Softwareentwicklung zu schützen.

Die Ursache des Grafana-Datenlecks ist schnell identifiziert: Ein einzelnes GitHub-Workflow-Token, das bei der Rotation übersehen wurde, ermöglichte Angreifern den Zugriff auf die privaten Repositories des Unternehmens. Dies geschah im Kontext der Shai-Hulud-Malware-Kampagne, die der Hacker-Gruppe TeamPCP zugeordnet wird und dutzende TanStack-Pakete im npm-Registry mit Credential-Stealer-Code infizierte.

Am 1. Mai bemerkte Grafana verdächtige Aktivitäten, die von den kompromittierten TanStack-Paketen ausgingen. Das Unternehmen reagierte umgehend und implementierte seinen Notfallplan: GitHub-Workflow-Tokens wurden in Masse rotiert. Allerdings unterlief den Verantwortlichen ein kritischer Fehler — ein Token wurde in diesem Prozess übersehen. Die Angreifer nutzten genau dieses Token, um in die privaten Repositories einzudringen.

“Wir führten eine Analyse durch und rotierten schnell eine erhebliche Anzahl von GitHub-Workflow-Tokens, aber ein übersehenes Token führte dazu, dass die Angreifer Zugriff auf unsere GitHub-Repositories erhielten”, erklärte Grafana in einem Sicherheitsupdate. Eine nachfolgende Überprüfung zeigte, dass ein GitHub-Workflow, der zunächst als nicht beeinträchtigt galt, tatsächlich kompromittiert worden war.

Bei der erweiterten Untersuchung stellte Grafana fest, dass die Angreifer neben Quellcode auch betriebliche Informationen und geschäftliche Kontaktdaten erbeutet hatten — insbesondere Namen und E-Mail-Adressen aus professionellem Kontext. Grafana betont jedoch: Dies waren keine Kundendaten aus Produktionssystemen oder der Grafana-Cloud-Plattform.

Das Unternehmen gibt Entwarnung für Nutzer und Kunden: Der Quellcode wurde nicht modifiziert, die heruntergeladenen Versionen sind sicher, und keine Kundenproduktionssysteme wurden kompromittiert. Sollten neue Erkenntnisse aus der laufenden Ermittlung diese Bewertung ändern, verspricht Grafana, betroffene Kunden direkt zu benachrichtigen.

Dieser Vorfall unterstreicht die Anfälligkeit moderner Entwickler-Workflows für Supply-Chain-Attacken. Das Incident Response Team bei Grafana hätte eine Checkliste für die Token-Rotation implementieren müssen, um solche Fehler auszuschließen. Für deutsche Unternehmen, die Grafana nutzen, empfiehlt sich eine kritische Überprüfung der eigenen CI/CD-Prozesse — gerade mit Blick auf die DSGVO, sollte es tatsächlich zu Datenlecks kommen.

Ähnliche Artikel