Grafana Labs confirmou que atacantes acederam ao seu ambiente do GitHub e baixaram parte do código fonte após comprometer um token de acesso. Embora a empresa afirme que Não existem indícios de exposição de dados de clientes nem de afectação a sistemas de produção, a filtração do código levanta riscos distintos e persistentes que merecem atenção técnica e estratégica.
O grupo de extorsão que reclama a intrusão, autodenominado CoinbaseCartel, adicionou Grafana ao seu portal de vazamento de dados (DLS) sem publicar ainda arquivos, em uma manobra clássica de pressão para forçar um pagamento. Grafana optou por não ceder à extorsão e invalidau as credenciais comprometidas, seguindo a recomendação pública das autoridades, que advertem que pagar resgates não garante a recuperação de ativos ou disuade futuros ataques. Veja a orientação geral do FBI sobre ransomware e extorsão aqui: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/ransomware.
Do ponto de vista operacional, o vetor declarado — um token roubado no GitHub — enfatiza uma constante: credenciais e segredos expostos continuam sendo a principal porta de entrada para ataques contra repositórios e pipelines. As organizações e projetos de código aberto com alta adoção comercial, como Grafana, são especialmente valiosos para os atacantes porque seu código pode conter informações úteis sobre configurações, dependências e potencialmente fluxos lógicos que facilitam vulnerabilidades de cadeia de abastecimento.
O incidente também evidencia o modo de operação de coletivos como CoinbaseCartel, que segundo pesquisadores agrupa afiliados de faixas prévias (ShinyHunters, Lapsus$) e combina roubo de dados com ameaças de publicação e ferramentas destrutivas. Relatórios técnicos e de inteligência apontam que variantes dessas ameaças desenvolvem cargas para cifrar infraestruturas críticas como VMware ESXi, o que complica a resposta se o ator decidir escalar.
Para equipamentos de produto e operações que gerem software próprio ou software de terceiros como Grafana, as ações prioritárias devem incluir a rotação imediata de tokens e chaves, a revisão e restrição de permissões (princípio de menor privilégio), e a migração para mecanismos mais seguros: tokens finos com validade, OIDC entre CI/CD e fornecedores de identidade, e políticas de caducidade automática. O GitHub oferece guias para criar e proteger Tokens que convém rever: https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token.
Para além da gestão de segredos, é recomendável auditar todo o histórico de commits e as integrações automáticas por se o acesso foi usado para inserir portas traseiras ou modificar releases. As organizações consumidoras do software devem verificar assinaturas/huellas de releases oficiais, preferir pacotes distribuídos a partir de fontes oficiais, e ativar controlos de integridade (suman de verificação, reprodutível builds e assinatura de artefatos) para minimizar o risco de aceitar binários manipulados.
Quanto à resposta ante extorsões, Grafana seguiu a postura que recomendam muitas forças da ordem e especialistas: não pagar. No entanto, a comunicação pública e a transparência técnica importam tanto quanto a contenção interna. As empresas devem preparar planos de comunicação que expliquem quais informações foram revistas, que provas apoiam a não afectação de dados sensíveis e as medidas de mitigação tomadas para restaurar a confiança.
Para os responsáveis pela cibersegurança e governança, este caso é um lembrete de duas prioridades: investir em detecção precoce e em práticas de higiene de credenciais, e assumir que o código fonte, embora não contenha dados pessoais, é um ativo estratégico que requer proteção equivalente. Avaliações de risco, testes de integridade após o incidente e exercícios de simulação de fuga/extorsão ajudam a medir a resposta e a reduzir o impacto reputacional e operacional.
Finalmente, a comunidade deveria lembrar que os incidentes deste tipo podem evoluir: a publicação posterior de código ou artefatos, ou tentativas de exploração direcionadas baseadas em conhecimento adquirido do repositório, são cenários plausível. Manter a vigilância sobre fóruns e portais de leak, atualizar alertas de inteligência e colaborar com fornecedores e autoridades são ações que, combinadas com controles técnicos, melhoram a resiliência contra futuros ataques. Para mais contexto sobre a cobertura inicial deste incidente, consultar o relatório da BleepingComputer: https://www.bleepingcomputer.com/news/security/grafana-labs-confirms-source-code-stolen-by-coinbasecartel/.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...