Grafana Labs 正在调查 GitHub 安全事件

Grafana Labs 发布了关于其在 5 月 16 日发生的安全事件调查的最新进展。根据 ChainCatcher 的报道，该事件仅限于 Grafana Labs 的 GitHub 环境，影响了公共和私人源代码以及内部 GitHub 仓库。此次泄露并未影响客户的生产系统、运营或 Grafana Cloud 平台。下载的内容包括源代码和团队用于协作及存储内部运营信息和商业细节（如商业联系人姓名和电子邮件地址）的一些仓库。然而，这并不涉及生产系统或云平台的数据。Grafana Labs 确认，尽管代码库被下载，但并未被篡改。客户和开源用户目前无需采取任何行动。该事件与通过 Mini Shai-Hulud 活动进行的 TanStack npm 供应链攻击有关。Grafana Labs 于 5 月 11 日检测到恶意活动并启动了紧急响应。然而，由于一个凭证的疏忽，攻击者获得了访问权限。在 5 月 16 日收到赎金要求后，公司选择不支付，并已旋转自动凭证、增强监控、审核自 5 月 11 日以来的所有提交，并显著加强了 GitHub 安全配置。联邦执法部门已被通知，调查仍在进行中。