Grafana Labs confirmou em 19 de maio de 2026 que a intrusão detectada no início do mês não comprometeu sistemas de produção nem a operação de Grafana Cloud, mas afetou seu entorno do GitHub, incluindo repositórios públicos e privados com código fonte e documentos internos. O fosso originou-se na cadeia de abastecimento do ecossistema npm associada a TanStack e foi aproveitado pelo grupo conhecido como TeamPCP, mesmo ator que atingiu outras grandes organizações nas últimas semanas.
Os detalhes públicos da empresa oferecem uma lição clara sobre a superfície de ataque moderna: não só o código em execução importa, mas também os artefatos operacionais armazenados em plataformas de colaboração. Grafana explica que, além de código, foram baixados repositórios usados para coordenação interna e dados de contato profissionais. Um token de fluxo de trabalho (workflow token) que não foi rotado permitiu o acesso a repositórios inicialmente considerados indemnes, o que sublinha o risco de confiar em pressupostos “não impactados” sem verificação técnica completa.
O episódio se encaixa em uma tendência maior de ataques à cadeia de fornecimento de software e plataformas de desenvolvimento: atores como TeamPCP exploram dependências, pacotes maliciosos e credenciais automatizadas para escalar alcance e obter ativos sensíveis. O GitHub também está investigando acessos não autorizados a seus repositórios internos, o que reforça que essas intrusões podem ter efeitos sistêmicos além de uma única empresa. No contexto da natureza destas ameaças e práticas de mitigação, os guias e avisos de plataformas e agências de segurança são úteis; por exemplo, a documentação do GitHub sobre segurança e a secção da CISA sobre segurança da cadeia de fornecimento oferecem recomendações práticas ( Blog do GitHub, CISA: Supply Chain Security).
Após detectar a atividade em 11 de maio, Grafana procedeu a rotar numerosos tokens e auditar commits, e recebeu uma demanda de extorsão em 16 de maio que decidiu não pagar pela simples razão de que o pagamento não garante a eliminação dos dados e também incentiva futuras campanhas. A decisão reafirma uma postura cada vez mais habitual entre vítimas informadas: pagar não resolve o problema estrutural nem reduz o dano reputacional a longo prazo, e pode expor a organização a novas extorsões.
Que implicações tem isto para empresas e equipamentos de desenvolvimento? Em primeiro lugar, os controlos em torno da automação e dos Tokens devem ser tão rigorosos quanto as credenciais humanas: políticas de menor privilégio, tokens de duração breve, uso do OpenID Connect para fluxos CI/CD e auditoria contínua de fluxos de trabalho. Em segundo lugar, os repositórios internos e a documentação operacional devem ser tratados como dados sensíveis; a sua exposição pode facilitar a engenharia social, a suplantação de identidade comercial e ataques dirigidos embora os serviços em produção não tenham sido tocados.
Para os responsáveis pela segurança e desenvolvedores, é conveniente adotar medidas concretas e técnicas: revisar e revogar tokens e credenciais inativas, ativar autenticação multifator e políticas de acesso condicional, migrar para credenciais de alcance mínimo para ações automatizadas, aplicar digitalização de dependências e assinaturas de pacotes, manter inventários de software (SBOM) e monitorar em tempo real as mudanças em repositórios com alertas e correlação no SIEM. Além disso, auditar commits históricos e hooks de integração contínua Pode revelar compromissos prévios que uma rotação pontual não corrige completamente.
As organizações de código aberto e os mantenedores de pacotes também devem tomar nota: a confiança no ecossistema npm requer controlos na publicação e verificação de pacotes, políticas de revisão de dependências e, quando crítico, o uso de registries privados ou proxies que filtrem mudanças. Os usuários finais devem atualizar dependências com cautela, fixar versões e verificar a reputação de pacotes e autores diante de mudanças inesperadas.
Finalmente, a lista pública de vítimas por grupos de extorsão na dark web, como o aparecimento de Grafana em sites ligados à CoinbaseCartel, lembra que as organizações devem preparar-se para a exposição pública e gere-la com planos de resposta a incidentes e comunicação clara. A resiliência em ataques à cadeia de abastecimento exige tanto controlos técnicos como preparação legal e comunicacional, e a cooperação entre fornecedores de plataformas, equipamentos internos e agências de segurança é essencial para conter e mitigar essas campanhas.
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
Extensões maliciosas do VS Code: o ataque que expôs 3.800 repositórios internos
O GitHub confirmou que um dispositivo de um funcionário comprometido através de uma extensão maliciosa do Visual Studio Code permitiu a ex-filtração de centenas ou milhares de r...
Fox Tempest expõe a fragilidade da assinatura digital na nuvem
A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de...
Já não é quantos CVE há, é a concentração de vulnerabilidades que facilita a escalada de privilégios no Azure, Office e Windows Server
Os dados do 2026 Microsoft Vulnerabilities Report evidenciam uma verdade desconfortável para equipes de segurança: não é o volume total de CVE o que determina o risco real de...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...