A violação de dados na Grafana foi causada por um único token de workflow do GitHub que escapou do processo de rotação após o ataque de supply chain ao pacote TanStack no npm, na semana passada.
Na campanha em andamento de malware Shai-Hulud, atribuída a hackers do grupo TeamPCP, dezenas de pacotes TanStack infectados com código para roubo de credenciais foram publicados no índice do npm, comprometendo ambientes de desenvolvimento, inclusive o da Grafana.
Quando o pacote malicioso foi liberado, o fluxo de CI/CD da Grafana o consumiu, e o módulo de infostealer foi executado no ambiente do GitHub da empresa, exfiltrando tokens de workflow do GitHub para os atacantes.
A empresa informou que detectou atividade maliciosa decorrente dos pacotes TanStack comprometidos em 1º de maio e, imediatamente, acionou seu plano de resposta a incidentes, que incluiu a rotação dos tokens de workflow do GitHub.
No entanto, um token foi deixado de fora do processo, e o atacante o utilizou para acessar os repositórios privados da companhia.
“Realizamos uma análise e rotacionamos rapidamente uma quantidade significativa de tokens de workflow do GitHub, mas um token não foi identificado, o que permitiu que os atacantes obtivessem acesso aos nossos repositórios do GitHub”, diz a atualização da Grafana.
“Uma revisão posterior confirmou que um workflow específico do GitHub que inicialmente consideramos não afetado, na verdade, havia sido comprometido.”
Antes disso, a empresa já havia confirmado que os invasores roubaram o código-fonte, garantiu que não houve impacto para clientes e afirmou que os hackers não receberiam pagamento de resgate.
A investigação em andamento mostrou ainda que o intruso também baixou informações operacionais e detalhes que a Grafana usa em suas atividades comerciais.
“Isso inclui nomes e endereços de e-mail de contatos comerciais que seriam trocados em um contexto de relacionamento profissional, e não informações extraídas ou processadas por meio de sistemas de produção ou da plataforma Grafana Cloud”, afirmou a empresa.
A Grafana reforça que esses não eram dados de produção de clientes e que, segundo as evidências mais recentes e a investigação, nenhum sistema ou operação de produção de clientes foi comprometido.
A Grafana Labs também observou que sua base de código não foi modificada durante o incidente.
Com isso, o código baixado pelos usuários ao longo dos eventos é considerado seguro, e não há necessidade de nenhuma ação por parte deles.
Se essa avaliação mudar com novas evidências da investigação em andamento, a Grafana Labs prometeu notificar diretamente os clientes afetados.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...