Grafana Labs bị tấn công qua chuỗi cung ứng npm, lộ mã nguồn trên GitHub

Grafana Labs vừa công bố kết quả điều tra về sự cố bảo mật xảy ra gần đây, khẳng định rằng các hệ thống sản xuất và nền tảng Grafana Cloud của khách hàng không bị ảnh hưởng. Tuy nhiên, kẻ tấn công đã truy cập thành công vào môi trường GitHub của công ty.

Theo báo cáo, phạm vi dữ liệu bị rò rỉ bao gồm mã nguồn (cả công khai và riêng tư) cùng các kho lưu trữ (repository) nội bộ mà các nhóm tại Grafana sử dụng để cộng tác và lưu trữ thông tin vận hành. Ngoài ra, một số thông tin liên lạc như tên và email của các đối tác kinh doanh cũng nằm trong số dữ liệu bị truy cập.

Sự cố này có nguồn gốc từ cuộc tấn công chuỗi cung ứng nhắm vào gói npm của TanStack, một chiến dịch do nhóm tin tặc TeamPCP thực hiện (nhóm này cũng được cho là đã tấn công OpenAI và Mistral AI). Grafana phát hiện hoạt động bất thường vào ngày 11/5/2026. Mặc dù công ty đã thực hiện xoay vòng các GitHub workflow token ngay sau đó, một token bị bỏ sót đã tạo điều kiện cho kẻ tấn công duy trì quyền truy cập vào các repository.

Đến ngày 16/5/2026, Grafana Labs nhận được yêu cầu tống tiền từ một nhóm tin tặc. Tuy nhiên, công ty đã quyết định từ chối chi trả ransomware vì không có gì đảm bảo dữ liệu bị đánh cắp sẽ được xóa bỏ và việc trả tiền có thể tiếp tay cho các chiến dịch tấn công trong tương lai. Trước đó, nhóm tống tiền có tên CoinbaseCartel cũng đã liệt kê Grafana Labs vào danh sách nạn nhân trên dark web.

Hiện tại, Grafana Labs đã thực hiện các biện pháp khắc phục bao gồm: xoay vòng toàn bộ token tự động hóa, tăng cường giám sát, kiểm tra lại toàn bộ các commit để tìm kiếm dấu hiệu độc hại và củng cố bảo mật tổng thể cho hạ tầng GitHub. Sự việc này diễn ra trong bối cảnh GitHub cũng đang tiến hành điều tra các truy cập trái phép vào kho lưu trữ nội bộ của chính nền tảng này.

Nguồn tham khảo: The Hacker News