聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Grafana 披露称,一个“未经授权方”获取了一个令牌,能够访问公司的 GitHub 环境并下载代码库。
Grafana 在 X 平台上发布帖子中表示:“我们的调查认定,该事件未导致任何客户数据或个人信息被访问,也未有证据表明客户系统或运营受影响。”该公司还表示,发现该攻击活动后立即启动了取证分析,并找到了泄露的来源。该公司补充称,已被泄露的凭证已失效,并已实施额外的安全措施以防止未经授权的访问。
此外,Grafana 透露称攻击者试图实施敲诈勒索,要求支付赎金以阻止被盗数据库被公开。Grafana 表示,引用美国联邦调查局(FBI)的建议,公司选择不支付赎金。FBI 此前曾警告不要与犯罪者谈判赎金,因为无法保证这样做能帮助受影响公司取回数据。美国联邦调查局在其网站上指出:“这还会鼓励犯罪者锁定更多受害者,并为其他人参与此类非法活动提供诱因。”
Grafana 并未透露事件发生的时间,也未说明攻击者自何时起能够访问环境,仅表示“近期”得知此次攻击。该事件尚未归因为任何已知的攻击者或组织。不过,Hackmanac 和 Ransomware.live 发布报告提到,一个名为 CoinbaseCartel 的网络犯罪团伙已宣称对此次事件负责。根据 Halcyon 和 Fortinet FortiGuard 实验室分享的细节,CoinbaseCartel 是一个数据勒索团伙,现身于 2025 年 9 月。据评估,该团伙是 ShinyHunters、Scattered Spider 和 LAPSUS$ 等生态系统的分支。该团伙与传统勒索软件团伙不同,只专注于数据窃取和勒索,已在医疗、科技、交通运输、制造及商业服务等领域积累了170个受害目标。
Grafana 也未透露攻击者下载了哪个代码库。但该公司提供多种解决方案,例如 Grafana Cloud,它是一个面向应用和基础设施的全托管、云托管可观测性平台。Grafana该公司尚未就此置评。
就在该事件发生的前几天,美国教育科技公司 Instructure 做出了一个有争议的决定,即向 ShinyHunters 勒索团伙妥协。该团伙此前威胁要泄露属于美国数千所中小学和大学的数 TB 数据。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
Grafana 修复可泄露用户数据的 AI 漏洞
Grafana 多个严重漏洞可用于实现 RCE
Grafana SCIM 中存在严重漏洞,可导致身份冒充或提权
速修复!Grafana 修复中存在四个严重的RCE漏洞
原文链接
https://thehackernews.com/2026/05/grafana-github-token-breach-led-to.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
深度解析:模型+框架=智能体,一文带你秒懂!)
