Grafana: 최근의 보안 사건이 고객의 생산 시스템과 운영에 영향을 미치지 않았다는 조사 결과

오픈 소스 데이터 시각화 도구 Grafana는 5월 16일의 보안 사건 조사에 대한 최신 진행 상황을 발표했습니다. 조사 결과, 이번 사건은 Grafana Labs의 GitHub 환경에 국한되며, 공개 및 비공식 소스 코드와 내부 GitHub 저장소를 포함하고 있으며, 고객의 생산 시스템, 운영 또는 Grafana Cloud 플랫폼에는 영향을 미치지 않았습니다. 다운로드된 내용은 소스 코드를 제외하고, 팀이 내부 운영 정보 및 비즈니스 세부 사항을 협업하고 저장하는 데 사용하는 일부 저장소를 포함하고 있으며, 비즈니스 연락처 이름과 이메일 주소가 포함되어 있지만 생산 시스템이나 클라우드 플랫폼의 데이터는 아닙니다.

Grafana Labs는 코드베이스가 다운로드되었지만 변조되지 않았다고 명확히 밝혔으며, 현재 고객과 오픈 소스 사용자는 아무런 조치를 취할 필요가 없습니다. 이 사건은 Mini Shai-Hulud 운동을 통해 발생한 TanStack npm 공급망 공격에서 비롯되었습니다. Grafana Labs는 5월 11일에 악의적인 활동을 감지하고 비상 대응을 시작했지만, 하나의 자격 증명을 누락하여 공격자가 접근 권한을 얻었습니다. 5월 16일에 몸값 요구를 받은 후, 회사는 몸값을 지불하지 않기로 결정했으며, 자동화된 자격 증명을 교체하고, 모니터링을 강화하며, 5월 11일 이후의 모든 제출을 감사하고, GitHub 보안 구성을 대폭 강화했습니다. 회사는 연방 법 집행 기관에 통보했으며, 조사는 계속 진행 중입니다.