Grafana：調查發現近期的安全事件未影響客戶生產系統和運營

ChainCatcher 消息，開源數據可視化工具 Grafana 發布對 5 月 16 日的安全事件調查的最新進展，調查發現，此次事件僅限於 Grafana Labs 的 GitHub 環境，包括公開和私有源代碼以及內部 GitHub 倉庫，並未影響客戶生產系統、運營或 Grafana Cloud 平台。下載的內容除源代碼外，還包含部分團隊用於協作和存儲內部運營信息及業務細節的倉庫，涉及業務聯繫姓名和郵箱地址，而非來自生產系統或雲平台的數據。

Grafana Labs 明確表示代碼庫被下載但未被篡改，目前客戶和開源用戶無需採取任何行動。該事件源於通過 Mini Shai-Hulud 運動進行的 TanStack npm 供應鏈攻擊。Grafana Labs 於 5 月 11 日檢測到惡意活動並啟動應急響應，但因遺漏一個憑證導致攻擊者獲得訪問權限。5 月 16 日收到贖金要求後，公司決定不支付贖金，並已輪換自動化憑證、實施增強監控、審計自 5 月 11 日以來的所有提交，並大幅強化了 GitHub 安全配置。公司已通知聯邦執法部門，調查仍在進行中。