SchwachstellenHackerangriffeCloud-Sicherheit

Grafana-Hack: Token-Vergessen führt zu Codebase-Diebstahl nach TanStack-Angriff

Von CyberDeutsch Redaktion
Grafana-Hack: Token-Vergessen führt zu Codebase-Diebstahl nach TanStack-Angriff
Zusammenfassung

Ein Sicherheitsvorfall bei Grafana offenbart eine kritische Schwachstelle in der Software-Supply-Chain: Unbekannte Angreifer gelangten Anfang Mai über einen nicht widerrufenen GitHub-Token in die Repositories des Monitoring-Unternehmens. Der Token war ursprünglich im Rahmen der TanStack-Attacke kompromittiert worden, bei der mehrere populäre NPM- und PyPI-Pakete mit Schadsoftware infiziert wurden. Obwohl Grafana schnell reagierte und die meisten Zugangstoken zurückzog, entging ein Token dieser Maßnahme – ein Fehler, den die Angreifer skrupellos ausnutzten. Sie erbeuteten den kompletten Quellcode von Grafana sowie interne Geschäftsunterlagen und Kontaktdaten. Das Unternehmen erhielt später eine Lösegeldforderung, zahlte aber nicht. Während Grafanas Produktionsumgebungen und die Cloud-Plattform nicht beeinträchtigt wurden, zeigt der Vorfall ein grundlegendes Problem: Selbst führende Sicherheitsunternehmen können Sicherheitslücken in der Token-Verwaltung übersehen. Für deutsche Unternehmen und Behörden ist dies ein warnendes Beispiel für die Risiken unzureichender Supply-Chain-Kontrolle und die Notwendigkeit, alle Zugriffstoken konsequent zu inventarisieren und zu widerufen.

Am 11. Mai wurden TanStack und weitere populäre Open-Source-Projekte in der NPM- und PyPI-Ökosystemen von selbstreproduzierender Malware heimgesucht. Die sogenannte Mini-Shai-Hulud-Attacke zielte auf Developer-Maschinen ab und verbreitete sich durch kompromittierte Pakete. Grafana erkannte die verdächtige Aktivität zeitgleich und leitete Notfallmaßnahmen ein — aber nicht vollständig.

Der entscheidende Fehler war ein GitHub-Workflow-Token, das die Sicherheitsteam übersah. “Ein späterer Review zeigte, dass ein spezifischer GitHub-Workflow, den wir ursprünglich als nicht beeinträchtigt einstuften, tatsächlich kompromittiert worden war”, teilte Grafana mit. Diese Nachlässigkeit gab den Angreifern Tür und Tor zum Zugriff auf sämtliche GitHub-Repositories des Unternehmens.

Am 16. Mai forderten die Täter Lösegeld. Grafana lehnte ab und verstärkte stattdessen seine Schutzvorkehrungen. Das Unternehmen benachrichtigte auch Strafverfolgungsbehörden.

Die gute Nachricht für Nutzer: Produktionssysteme und die Cloud-Plattform wurden nicht kompromittiert. Die Angreifer kopierten zwar den gesamten Quellcode und interner Repositorys mit Geschäftskontakten und E-Mail-Adressen, führten aber keine destruktiven Änderungen durch. “Keine Kundensysteme oder Open-Source-Nutzer müssen Maßnahmen ergreifen”, versichert Grafana.

Dennoch ist der Vorfall ein wertvolles Lehrstück. Token-Management-Fehler sind in der DevOps-Sicherheit ein bekanntes, aber oft unterschätztes Risiko. Das BSI empfiehlt in seinen Richtlinien regelmäßige Audits von Zugangsrechten und automatisierte Token-Rotation. Unternehmen, die selbst GitHub Actions und ähnliche CI/CD-Pipelines betreiben, sollten ihre Prozesse überprüfen: Werden alle Tokens regelmäßig rotiert? Gibt es ein Audit-Log für Token-Zugriffe? Werden kompromittierte Tokens zuverlässig widerrufen?

Der TanStack-Fall demonstriert auch, wie verwundbar das gesamte Software-Ökosystem gegenüber Supply-Chain-Angriffen ist. Eine einzelne kompromittierte Abhängigkeit kann sich über hunderte Projekte ausbreiten — und wie Grafana zeigt, können selbst etablierte Sicherheitsteams unter Zeitdruck Fehler machen.

Ähnliche Artikel