Grafana xác nhận mã nguồn và dữ liệu nội bộ bị đánh cắp qua lỗ hổng TanStack

Grafana Labs vừa tiết lộ rằng sự cố truy cập trái phép vào các kho lưu trữ GitHub của công ty, được công bố vào đầu tháng này, thực chất là hệ quả từ cuộc tấn công chuỗi cung ứng nhắm vào TanStack.

Vào ngày 11 tháng 5, TanStack cùng với một số dự án nổi tiếng khác trên NPM và PyPI đã trở thành nạn nhân của cuộc tấn công chuỗi cung ứng mang tên "Mini Shai-Hulud". Kết quả là phần mềm độc hại đánh cắp thông tin có khả năng tự lan truyền đã được triển khai trên máy tính của các nạn nhân.

Grafana

Grafana cho biết họ đã phát hiện hoạt động độc hại liên quan đến cuộc tấn công này vào ngày 11 tháng 5 và ngay lập tức tiến hành thay đổi (rotate) các token quy trình làm việc trên GitHub. Tuy nhiên, do một token cụ thể không bị thu hồi kịp thời, tác nhân đe dọa đứng sau cuộc tấn công TanStack đã tận dụng lỗ hổng này để truy cập vào các kho lưu trữ GitHub của Grafana.

"Một đợt rà soát sau đó đã xác nhận rằng một quy trình làm việc cụ thể trên GitHub mà chúng tôi ban đầu cho là không bị ảnh hưởng thực tế đã bị xâm phạm," Grafana tuyên bố.

Vào ngày 16 tháng 5, Grafana nhận được yêu cầu tiền chuộc từ những kẻ tấn công, nhưng công ty đã từ chối thanh toán. Đồng thời, họ đã triển khai thêm các biện pháp giảm thiểu rủi ro, tăng cường bảo mật cho hệ thống GitHub và thông báo cho cơ quan thực thi pháp luật.

Phạm vi ảnh hưởng của vụ việc

Các phát hiện hiện tại cho thấy phạm vi của sự cố này bị giới hạn ở các kho lưu trữ GitHub của Grafana Labs, bao gồm cả mã nguồn công khai, riêng tư và các kho nội bộ. Mặc dù không có hệ thống sản xuất hay hoạt động vận hành nào của khách hàng bị ảnh hưởng, tin tặc đã đánh cắp mã nguồn của Grafana cũng như các kho lưu trữ chứa thông tin vận hành nội bộ và chi tiết kinh doanh khác.

Điều này bao gồm tên và địa chỉ email liên hệ kinh doanh, là thông tin được trao đổi trong bối cảnh quan hệ chuyên nghiệp, chứ không phải thông tin được lấy ra hoặc xử lý thông qua việc sử dụng các hệ thống sản xuất hay nền tảng Grafana Cloud.

Grafana giải thích rằng sự cố này không ảnh hưởng đến hệ thống sản xuất hay nền tảng Grafana Cloud. Hơn nữa, công ty khẳng định mặc dù mã nguồn đã bị tải xuống, nhưng nó không bị sửa đổi, do đó người dùng cuối hay cộng đồng mã nguồn mở không cần thực hiện bất kỳ hành động nào.

Sự việc này một lần nữa nhấn mạnh những rủi ro ngày càng gia tăng liên quan đến bảo mật chuỗi cung ứng, nơi một lỗ hổng ở một thư viện hoặc dự án phụ thuộc có thể gây ra hậu quả nghiêm trọng cho các hệ thống downstream.