Pelanggaran data Grafana disebabkan oleh satu token alur kerja GitHub yang lolos dari proses rotasi setelah serangan rantai pasokan TanStack npm minggu lalu.
Dalam kampanye malware Shai-Hulud yang sedang berlangsung yang dikaitkan dengan peretas TeamPCP, lusinan paket TanStack terinfeksi dengan kode pencuri kredensial dipublikasikan di indeks npm, membahayakan lingkungan pengembang, termasuk lingkungan Grafana.
Ketika paket npm berbahaya dirilis, alur kerja CI/CD Grafana menggunakannya, dan modul pencuri info dieksekusi di lingkungan GitHub-nya, mengekstraksi token alur kerja GitHub ke penyerang.
Perusahaan menjelaskan bahwa mereka mendeteksi aktivitas berbahaya yang dihasilkan dari paket TanStack yang disusupi pada tanggal 1 Mei, dan segera menerapkan rencana respons insiden, termasuk merotasi token alur kerja GitHub.
Namun, satu token terlewatkan dalam proses tersebut, dan penyerang menggunakannya untuk mendapatkan akses ke repositori pribadi perusahaan.
“Kami melakukan analisis dan dengan cepat merotasi sejumlah besar token alur kerja GitHub, namun token yang terlewat menyebabkan penyerang mendapatkan akses ke repositori GitHub kami,” membaca pembaruan Grafana.
“Peninjauan selanjutnya mengonfirmasi bahwa alur kerja GitHub tertentu yang awalnya kami anggap tidak terpengaruh, ternyata telah disusupi.”
Sebelumnya, perusahaan mengkonfirmasi bahwa penyusup mencuri kode sumber, memastikan tidak ada dampak terhadap pelanggan, dan menyatakan bahwa peretas tidak akan menerima pembayaran tebusan.
Investigasi lanjutan mengungkapkan bahwa penyusup juga mengunduh informasi operasional dan rincian penggunaan Grafana untuk bisnisnya.
“Ini termasuk nama kontak bisnis dan alamat email yang akan dipertukarkan dalam konteks hubungan profesional, bukan informasi yang diambil dari atau diproses melalui penggunaan sistem produksi atau platform Grafana Cloud” – Grafana
Perusahaan menekankan bahwa ini bukanlah data produksi pelanggan, dan menurut bukti dan penyelidikan terbaru, tidak ada sistem atau operasi produksi pelanggan yang dikompromikan.
Grafana Labs juga mencatat bahwa basis kodenya tidak diubah selama insiden tersebut, sehingga kode yang diunduh pengguna selama acara dianggap aman, dan pengguna tidak diharuskan melakukan tindakan apa pun.
Jika evaluasi tersebut berubah berdasarkan bukti baru dari penyelidikan yang sedang berlangsung, Grafana Labs berjanji akan memberi tahu pelanggan yang terkena dampak secara langsung.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
