La fuite de données chez Grafana a été causée par un unique jeton de workflow GitHub qui a échappé au processus de rotation après l’attaque sur la chaîne d’approvisionnement de TanStack la semaine dernière.
Dans la campagne de malware Shai-Hulud attribuée aux hackers de TeamPCP, plusieurs paquets TanStack infectés par un code qui vole les identifiants ont été publiés sur l’index npm. Ces paquets ont compromis les environnements de développeurs, dont celui de Grafana.
Lorsque le paquet npm malveillant a été diffusé, le workflow CI/CD de Grafana l’a utilisé. Le module qui extrait les informations s’est alors exécuté dans son environnement GitHub et a envoyé les jetons de workflow GitHub aux attaquants.
L’entreprise explique qu’elle a détecté une activité malveillante liée aux paquets TanStack compromis le 1 mai. Elle a immédiatement appliqué son plan de réponse, ce qui a inclu la rotation des jetons de workflow GitHub.
Mais un jeton a été omis dans ce processus. L’attaquant l’a utilisé pour accéder aux dépôts privés de l’entreprise.
« Nous avons effectué une analyse et avons rapidement changé un grand nombre de jetons de workflow GitHub, mais un jeton manqué a permis aux attaquants d’accéder à nos dépôts GitHub », indique la mise à jour de Grafana.
« Un examen ultérieur a confirmé que un workflow GitHub spécifique que nous pensions initialement non impacté avait, en réalité, été compromis. »
Précédemment, l’entreprise avait confirmé que les intrus avaient volé du code source. Elle avait assuré qu’il n’y avait aucun impact pour les clients et avait déclaré que les hackers ne recevraient aucun paiement.
L’enquête approfondie a révélé que l’intrus a aussi téléchargé des informations opérationnelles et des détails que Grafana utilise pour son activité.
« Cela inclut des noms et des adresses email de contacts professionnels qui sont échangés dans un contexte de relation professionnelle, et non des informations extraites ou traitées via l’utilisation des systèmes de production ou de la plateforme Grafana Cloud », précise Grafana.
L’entreprise souligne que ces données ne concernaient pas la production des clients. Selon les dernières preuves et l’enquête, aucun système de production ou opération client n’a été compromis.
Grafana Labs a aussi noté que son codebase n’a pas été modifié pendant l’incident. Le code que les utilisateurs ont téléchargé durant ces événements est donc considéré comme sûr, et les utilisateurs ne doivent prendre aucune action.
Si cette évaluation change sur la base de nouvelles preuves provenant de l’enquête en cours, Grafana Labs promet de notifier directement les clients impactés.