Falha no Grafana veio de rotação de token esquecida após ataque ao TanStack
21 de Maio de 2026

A violação de dados na Grafana foi causada por um único token de workflow do GitHub que escapou do processo de rotação após o ataque de supply chain ao pacote TanStack no npm, na semana passada.

Na campanha em andamento de malware Shai-Hulud, atribuída a hackers do grupo TeamPCP, dezenas de pacotes TanStack infectados com código para roubo de credenciais foram publicados no índice do npm, comprometendo ambientes de desenvolvimento, inclusive o da Grafana.

Quando o pacote malicioso foi liberado, o fluxo de CI/CD da Grafana o consumiu, e o módulo de infostealer foi executado no ambiente do GitHub da empresa, exfiltrando tokens de workflow do GitHub para os atacantes.

A empresa informou que detectou atividade maliciosa decorrente dos pacotes TanStack comprometidos em 1º de maio e, imediatamente, acionou seu plano de resposta a incidentes, que incluiu a rotação dos tokens de workflow do GitHub.

No entanto, um token foi deixado de fora do processo, e o atacante o utilizou para acessar os repositórios privados da companhia.

“Realizamos uma análise e rotacionamos rapidamente uma quantidade significativa de tokens de workflow do GitHub, mas um token não foi identificado, o que permitiu que os atacantes obtivessem acesso aos nossos repositórios do GitHub”, diz a atualização da Grafana.

“Uma revisão posterior confirmou que um workflow específico do GitHub que inicialmente consideramos não afetado, na verdade, havia sido comprometido.”

Antes disso, a empresa já havia confirmado que os invasores roubaram o código-fonte, garantiu que não houve impacto para clientes e afirmou que os hackers não receberiam pagamento de resgate.

A investigação em andamento mostrou ainda que o intruso também baixou informações operacionais e detalhes que a Grafana usa em suas atividades comerciais.

“Isso inclui nomes e endereços de e-mail de contatos comerciais que seriam trocados em um contexto de relacionamento profissional, e não informações extraídas ou processadas por meio de sistemas de produção ou da plataforma Grafana Cloud”, afirmou a empresa.

A Grafana reforça que esses não eram dados de produção de clientes e que, segundo as evidências mais recentes e a investigação, nenhum sistema ou operação de produção de clientes foi comprometido.

A Grafana Labs também observou que sua base de código não foi modificada durante o incidente.

Com isso, o código baixado pelos usuários ao longo dos eventos é considerado seguro, e não há necessidade de nenhuma ação por parte deles.

Se essa avaliação mudar com novas evidências da investigação em andamento, a Grafana Labs prometeu notificar diretamente os clientes afetados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...