Grafana Labs bestätigte am 19. Mai 2026, dass die zu Beginn des Monats festgestellte Intrusion die Produktionssysteme oder den Betrieb der Grafana Cloud nicht beeinträchtigte, sondern die Umgebung von GitHub beeinflusste, einschließlich öffentlicher und privater Repositories mit Quellcode und internen Dokumenten. Die Lücke entstand in der mit TanStack verbundenen Npm-Ökosystemversorgungskette und wurde von der Gruppe TeamPCP ausgenutzt, gleiche Schauspieler, der in den letzten Wochen andere große Organisationen getroffen hat.
Die Details, die das Unternehmen öffentlich gemacht hat, bieten eine klare Lektion über die moderne Angriffsfläche: nicht nur die Implementierungscodes, sondern auch die Betriebssysteme, die auf kollaborativen Plattformen gespeichert sind. Grafana erklärt, dass neben dem Code auch Repositories für interne Koordination und professionelle Kontaktdaten heruntergeladen wurden. Ein Workflow-Token, der nicht gedreht wurde, erlaubten Zugriff auf Repositories, die ursprünglich als frei angesehen wurden, die das Risiko hervorhebt, sich auf "unbeeinträchtigte" Annahmen ohne vollständige technische Überprüfung zu verlassen.
Die Episode passt zu einem größeren Trend von Angriffen auf die Software-Versorgungskette und Entwicklungsplattformen: Akteure wie TeamPCP nutzen Abhängigkeiten, schädliche Pakete und automatisierte Anmeldeinformationen, um Reichweite zu erhöhen und sensible Vermögenswerte zu erhalten. GitHub untersucht auch unbefugten Zugriff auf seine internen Repositories, was verstärkt, dass diese Intrusionen systemische Effekte über ein einziges Unternehmen hinaus haben können. Für den Kontext über die Art dieser Bedrohungen und Minderungspraktiken sind die Anleitungen und Mitteilungen von Sicherheitsplattformen und -agenturen nützlich; z.B. die Sicherheitsdokumentation von GitHub und die CISA-Sektion zur Versorgungskettensicherheit bieten praktische Empfehlungen ( Blog von GitHub, CISA: Sicherheit der Lieferkette)
Nach der Feststellung der Tätigkeit am 11. Mai ging Grafana fort, zahlreiche Token zu drehen und Verpflichtungen zu prüfen, und erhielt am 16. Mai einen Antrag auf Erpressung, der beschlossen hat, nicht aus dem einfachen Grund zu zahlen, dass die Zahlung nicht die Beseitigung der Daten garantiert und auch zukünftige Kampagnen ermutigt. Die Entscheidung bestätigt einen zunehmend gemeinsamen Standpunkt zwischen den informierten Opfern: Die Zahlung löst das strukturelle Problem nicht oder verringert den langfristigen Rufschaden und kann die Organisation einer neuen Erpressung aussetzen.
Welche Auswirkungen haben Entwicklungsunternehmen und Teams? Erstens, dass die Steuerungen rund um die Automatisierung und Token sollten so streng sein wie die der menschlichen Anmeldeinformationen: Richtlinien von weniger Privileg, Token von kurzer Dauer, Nutzung von OpenID Connect für CI / CD-Flows und kontinuierliche Überprüfung von Workflows. Zweitens sollten interne Repositorien und operationelle Dokumentationen als sensible Daten behandelt werden; ihre Exposition kann die Sozialtechnik, die kommerzielle Identitätssupplantation und gezielte Angriffe erleichtern, auch wenn Produktionsdienstleistungen nicht berührt wurden.
Bei Sicherheitsbeamten und Entwicklern sollten konkrete und technische Maßnahmen getroffen werden: die Überprüfung und Aufhebung von Token und inaktiven Anmeldeinformationen, die Multi-Faktor-Authentifizierungs- und Conditional Access-Policies zu ermöglichen, auf Mindestanzahl-Anmeldedaten für automatisierte Aktionen zu migrieren, Einheiten-Scannen und Paketsignaturen anzuwenden, Software-Erfinder (SBOM) aufrechtzuerhalten und in Echtzeitänderungen in Repositorien mit Warnungen und Korrelation im IMS zu überwachen. Außerdem, Prüfung historischer Verpflichtungen und kontinuierlicher Integrationshaken kann vorhergehende Verpflichtungen offenlegen, dass eine pünktliche Rotation nicht vollständig korrekt ist.
Open Source-Organisationen und Pakethalter sollten auch beachten: Vertrauen in das npm-Ökosystem erfordert Kontrollen in der Veröffentlichung und Überprüfung von Paketen, Unit Review-Richtlinien und, wo kritisch, die Verwendung von privaten Datensätzen oder Proxy, die Filter ändert. Endbenutzer sollten Abhängigkeiten mit Vorsicht aktualisieren, Versionen festlegen und den Ruf von Paketen und Autoren angesichts unerwarteter Änderungen überprüfen.
Schließlich erinnert die öffentliche Liste der Opfer durch Erpressungsgruppen auf dem dunklen Internet, wie das Auftreten von Grafana in Websites, die mit CoinbaseCartel verbunden sind, daran, dass Organisationen sich auf die öffentliche Exposition vorbereiten und sie mit einer zufälligen Reaktion und klaren Kommunikationsplänen verwalten sollten. Widerstand gegen Lieferkettenangriffe erfordert sowohl technische Kontrollen als auch rechtliche und Kommunikationsvorbereitung und die Zusammenarbeit zwischen Plattformanbietern, internen Teams und Sicherheitsbehörden ist unerlässlich, um diese Kampagnen einzudämmen und zu mildern.
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
! VS Code-Erweiterungen: der Angriff, der 3.800 interne Repositories ausgesetzt
GitHub hat bestätigt, dass ein Gerät eines Mitarbeiters mit einer bösartigen Erweiterung von Visual Studio Code die Exfiltration von Hunderten oder Tausenden von internen Reposi...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Es ist nicht mehr, wie viele CVE es gibt, es ist die Konzentration von Schwachstellen, die die Eskalation von Privilegien in Azure, Office und Windows Server erleichtert
Daten aus der 2026 Microsoft Schwachstellen Bericht Sie zeigen eine unbequeme Wahrheit für Sicherheitsausrüstung: Es ist nicht das Gesamtvolumen von CVE, das das reale Risiko...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...