Auslöser war ein Angriff auf die Software-Lieferkette, bei dem TanStack und andere bekannte NPM- und PyPI-Projekte von einer als Mini-Shai-Hulud bezeichneten Angriffsvariante betroffen waren. Das dabei eingesetzte Schadprogramm stiehlt Informationen und verbreitet sich selbstständig weiter auf den Rechnern der Opfer.
Grafana entdeckte nach eigenen Angaben die mit dem Angriff verbundene schädliche Aktivität und tauschte sofort die GitHub-Workflow-Token aus. Ein Token blieb jedoch bestehen, sodass der hinter dem TanStack-Angriff stehende Akteur Zugriff auf die Repositories erlangte. „Eine anschließende Überprüfung bestätigte, dass ein bestimmter GitHub-Workflow, den wir ursprünglich als nicht betroffen eingestuft hatten, tatsächlich kompromittiert worden war“, teilte Grafana mit.
Kurz darauf erhielt Grafana eine Lösegeldforderung der Angreifer, weigerte sich jedoch zu zahlen. Parallel leitete das Unternehmen weitere Gegenmaßnahmen ein, härtete seine GitHub-Konfiguration ab und benachrichtigte die Strafverfolgungsbehörden.
„Die derzeitigen Erkenntnisse deuten darauf hin, dass sich der Umfang dieses Vorfalls auf die GitHub-Repositories von Grafana Labs beschränkt, die öffentlichen und privaten Quellcode sowie interne GitHub-Repositories umfassen“, erklärte das Unternehmen. Kundenproduktivsysteme oder der laufende Betrieb seien nicht betroffen gewesen. Die Angreifer entwendeten jedoch den Quellcode von Grafana sowie Repositories mit internen betrieblichen Informationen und weiteren Geschäftsdaten.
Dazu zählen laut Grafana geschäftliche Kontaktnamen und E-Mail-Adressen, wie sie im Rahmen beruflicher Beziehungen ausgetauscht werden – also keine Daten, die aus Produktivsystemen oder der Plattform Grafana Cloud stammen oder über diese verarbeitet wurden.
Der Vorfall habe weder die Produktivsysteme noch die Plattform Grafana Cloud beeinträchtigt. Zwar sei der Quellcode heruntergeladen worden, er sei jedoch nicht verändert worden. Für Kunden oder Nutzer der Open-Source-Software bestehe daher kein Handlungsbedarf.
