Grafana Labs a confirmé le 19 mai 2026 que l'intrusion détectée au début du mois n'a pas compromis les systèmes de production ou le fonctionnement de Grafana Cloud, mais a affecté son environnement GitHub, y compris les dépôts publics et privés avec le code source et les documents internes. L'écart provient de la chaîne d'approvisionnement de l'écosystème Npm associée à TanStack et a été exploité par le groupe appelé TeamPCP, le même acteur qui a frappé d'autres grandes organisations ces dernières semaines.
Les détails que l'entreprise a rendus publics offrent une leçon claire sur la surface d'attaque moderne: non seulement le code de mise en œuvre est important, mais aussi les dispositifs d'exploitation qui sont stockés sur des plateformes collaboratives. Grafana explique qu'en plus du code, les dépôts utilisés pour la coordination interne et les données de contacts professionnels ont été téléchargés. Un élément de flux de travail qui n'a pas fait l'objet d'une rotation a permis l'accès à des dépôts initialement considérés comme gratuits., qui souligne le risque de s'appuyer sur des hypothèses « sans impact » sans vérification technique complète.
L'épisode s'inscrit dans une plus grande tendance d'attaques sur la chaîne d'approvisionnement logicielle et les plates-formes de développement : des acteurs comme TeamPCP exploitent des dépendances, des paquets malveillants et des identifiants automatisés pour atteindre et obtenir des actifs sensibles. GitHub enquête également sur l'accès non autorisé à ses dépôts internes, ce qui renforce que ces intrusions peuvent avoir des effets systémiques au-delà d'une seule entreprise. En ce qui concerne la nature de ces menaces et de ces pratiques d'atténuation, les guides et avis des plates-formes et organismes de sécurité sont utiles; par exemple, les documents de sécurité de GitHub et la section CISA sur la sécurité de la chaîne d'approvisionnement fournissent des recommandations pratiques ( Blog de GitHub, CISA: Sécurité de la chaîne d'approvisionnement).
Après avoir détecté l'activité le 11 mai, Grafana a procédé à la rotation de nombreux jetons et aux engagements d'audit, et a reçu une demande d'extorsion le 16 mai qui a décidé de ne pas payer pour la simple raison que le paiement ne garantit pas l'élimination des données et encourage également les campagnes futures. La décision réaffirme une position de plus en plus commune entre les victimes informées: payer ne résout pas le problème structurel et ne réduit pas le préjudice à long terme de la réputation et peut exposer l'organisation à une nouvelle extorsion.
Quelles sont les implications pour les entreprises et les équipes de développement? Premièrement, les contrôles autour de l'automatisation et des jetons devraient être aussi stricts que ceux des références humaines : politiques moins privilégiées, jetons de courte durée, utilisation d'OpenID Connect pour les flux CI / CD et audit continu des workflows. Deuxièmement, les dépôts internes et la documentation opérationnelle doivent être traités comme des données sensibles; leur exposition peut faciliter l'ingénierie sociale, le remplacement de l'identité commerciale et les attaques ciblées, même si les services de production n'ont pas été touchés.
Pour les responsables de la sécurité et les concepteurs, il convient de prendre des mesures concrètes et techniques : examiner et révoquer les jetons et les lettres de créance inactives, permettre l'authentification multifactorielle et les politiques d'accès conditionnel, migrer vers des lettres de créance à portée minimale pour les actions automatisées, appliquer la numérisation des unités et les signatures de paquets, tenir des inventaires de logiciels (SBOM) et surveiller en temps réel les changements dans les dépôts avec alertes et corrélation dans le SGI. En outre, audit des engagements historiques et des crochets d'intégration continue peut révéler des engagements antérieurs qu'une rotation ponctuelle n'est pas entièrement correcte.
Les organisations à source ouverte et les détenteurs de paquets devraient également noter que la confiance dans l'écosystème npm exige des contrôles dans la publication et la vérification des paquets, les politiques d'examen des unités et, lorsque cela est critique, l'utilisation de documents privés ou de mandataires qui filtrent les changements. Les utilisateurs finaux doivent mettre à jour les dépendances avec prudence, définir des versions et vérifier la réputation des paquets et des auteurs face à des changements inattendus.
Enfin, la liste publique des victimes par des groupes d'extorsion sur le réseau sombre, comme l'apparition de Grafana dans des sites liés à CoinbaseCartel, rappelle que les organisations devraient se préparer à l'exposition du public et la gérer avec une réponse incidente et des plans de communication clairs. La résistance aux attaques de la chaîne d'approvisionnement nécessite des contrôles techniques et une préparation juridique et de communication. et la coopération entre les fournisseurs de plateformes, les équipes internes et les organismes de sécurité est essentielle pour contenir et atténuer ces campagnes.
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
malveillant VS Extensions de code : l'attaque qui a exposé 3 800 dépôts internes
GitHub a confirmé qu'un dispositif d'un employé engagé par une extension malveillante de Visual Studio Code a permis l'exfiltration de centaines ou de milliers de dépôts interne...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Il n'y a plus de CVE, c'est la concentration des vulnérabilités qui facilite l'escalade des privilèges dans Azure, Office et Windows Server
Données de la 2026 Rapport de vulnérabilité de Microsoft ils révèlent une vérité inconfortable pour le matériel de sécurité: ce n'est pas le volume total de CVE qui détermine le...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...