Специалисты Grafana Labs завершили собственное расследование инцидента, связанного с атакой на экосистему npm-пакетов TanStack. Компания официально подтвердила факт несанкционированного клонирования её внутренних репозиториев GitHub. При этом системы продуктивного контура клиентов и облачная платформа Grafana Cloud не пострадали.
Независимый аудит, проведённый компанией Mandiant, подтвердил эти выводы. Специалисты Mandiant не обнаружили следов модификации кода, отравления репозиториев или вредоносных изменений в публично распространяемом программном обеспечении. Инцидент получил название "Mini Shai-Hulud" и наглядно демонстрирует растущие риски, связанные с утечкой учётных данных в современных конвейерах CI/CD (непрерывной интеграции и непрерывной доставки) и цепочках поставок с открытым исходным кодом.
Атака началась 11 мая, когда на самоуправляемых раннерах GitHub было выполнено вредоносное действие, приведшее к утечке критичных учётных данных. Компания оперативно произвела ротацию всех токенов, которые, по её оценке, были скомпрометированы. Однако один маркер доступа остался незамеченным. Именно это упущение позволило злоумышленнику восстановить доступ спустя несколько дней.
К 14 мая атакующий использовал забытые учетные данные для внесения несанкционированных изменений в код и начала масштабного клонирования репозиториев. Вскоре после этого началась эксфильтрация данных, кульминацией которой стало требование выкупа. 16 мая злоумышленник пригрозил опубликовать украденную кодовую базу, если компания не выполнит его условия.
Grafana Labs отказалась платить выкуп. Это решение соответствовало как внутренним принципам компании, так и рекомендациям правоохранительных органов, которые традиционно советуют не идти на уступки программам-вымогателям. Хотя большая часть кода Grafana является открытой, похищенные данные включали закрытые репозитории. В них содержались внутренние инструменты, операционные данные и ограниченная деловая контактная информация - в частности, корпоративные адреса электронной почты. Компания особо подчеркнула: эта информация не была получена из продуктивных сред или пользовательских систем. Данные клиентов не были затронуты.
Реакция на инцидент была незамедлительной и всеобъемлющей. Grafana Labs приостановила работу всех приложений GitHub, ввела глобальный запрет на внесение изменений в код (код-фриз) и провела ротацию учётных данных во всей своей инфраструктуре. Команды безопасности осуществили кросс-платформенный аудит сред GitHub, Vault, Okta, Kubernetes, AWS и GCP, чтобы подтвердить целостность систем и локализацию угрозы. Предоставленный анализ сетевого трафика и журналов событий позволил восстановить полную цепочку атаки в течение 48 часов после подтверждения факта взлома.
Масштаб восстановительных работ был значительным. Инженерные группы провели тысячи ручных и автоматизированных проверок безопасности. Было проаудировано 280 приложений GitHub, сокращены избыточные разрешения и просканировано 1 200 репозиториев на наличие признаков компрометации. Критически важные репозитории прошли интенсивную валидацию пул-реквестов для обнаружения любых несанкционированных правок. Параллельно с этим были выведены из эксплуатации устаревшие системы, чтобы сократить поверхность атаки. Компания также внедрила более строгие средства контроля доступа и запустила широкий аудит политик управления идентификацией.
В качестве долгосрочных мер безопасности Grafana Labs внедрила систему брокера токенов. Это решение обеспечивает использование короткоживущих, строго разграниченных учётных данных, что снижает зависимость от статичных секретов. Компания также перешла на более безопасные механизмы управления артефактами, ограничив прямые интеграции с внешними реестрами, такими как Docker Hub, в пользу контролируемых сред - например, Google Cloud Artifact Registry. Дополнительные меры включают усиленную систему оповещений, статический анализ кода и сегментацию организаций GitHub для изоляции архивных или неактивных репозиториев.
Этот инцидент подчёркивает критически важное правило безопасности цепочек поставок: даже один пропущенный токен способен вызвать серьёзные последствия для инфраструктуры. Хотя Grafana Labs успешно локализовала атаку без ущерба для клиентов, данный случай показывает, как злоумышленники всё активнее нацеливаются на конвейеры CI/CD и инструменты разработчиков, чтобы получить доступ к высокоприоритетным средам. Независимое подтверждение от Mandiant, исключившее факт манипуляции кодом, делает этот инцидент показательным примером эффективного реагирования, прозрачности и последующего усиления защиты перед лицом современных угроз цепочкам поставок.
