Grafana Labs разкри нови подробности около неотдавнашния пробив в инфраструктурата си, като потвърди, че атаката е била резултат от компрометиран GitHub workflow token, пропуснат по време на процеса по ротация след supply-chain атаката срещу TanStack.
Инцидентът е част от продължаващата кампания със зловредния код Shai-Hulud, приписвана на хакерската група TeamPCP. Нападателите публикуваха десетки компрометирани npm пакети на TanStack, съдържащи код за кражба на идентификационни данни, което е довело до заразяване на среди за разработка и CI/CD процеси в множество организации.
Как е протекла атаката
Според Grafana Labs, когато злонамереният npm пакет е бил изтеглен автоматично от CI/CD workflow на компанията, в GitHub средата се е изпълнил infostealer модул. Той е успял да извлече GitHub workflow tokens и да ги изпрати към атакуващите.
На 1 май компанията е засекла подозрителна активност, свързана с компрометираните TanStack пакети, и е активирала процедурата си за реакция при инциденти. Част от действията е включвала масова ротация на GitHub workflow tokens.
Въпреки това един token е бил пропуснат.
Именно този пропуск е позволил на нападателите да получат достъп до частни GitHub хранилища на компанията.
Компрометиран workflow, считан първоначално за безопасен
От компанията признават, че първоначално са сметнали конкретния GitHub workflow за незасегнат от атаката. Последвалият анализ обаче е показал, че и той е бил компрометиран.
Това подчертава един от основните проблеми при модерните supply-chain атаки – трудността да се определи пълният обхват на компрометирането в сложни автоматизирани DevOps среди.
Каква информация е била открадната
Първоначално Grafana Labs потвърди, че е бил откраднат изходен код, но заяви, че няма засегнати клиентски данни и че компанията няма да плаща откуп.
Последващото разследване е установило, че нападателите са изтеглили и оперативна информация, използвана в ежедневната дейност на компанията. Това включва:
- бизнес контакти;
- имена;
- имейл адреси;
- информация, обменяна в професионален контекст.
Компанията подчертава, че не става въпрос за production данни на клиенти или информация от Grafana Cloud.
Няма данни за компрометирани production системи
Според текущите резултати от разследването няма доказателства за компрометиране на production системи или клиентски операции. Освен това Grafana заявява, че кодовата база не е била модифицирана по време на инцидента.
Това означава, че потребителите, които са изтегляли софтуер през периода на атаката, не трябва да предприемат допълнителни действия към момента.
Компанията все пак уточнява, че ако се появят нови доказателства в хода на разследването, засегнатите клиенти ще бъдат уведомени директно.
Supply-chain атаките продължават да ескалират
Случаят показва колко сериозен риск представляват supply-chain атаките срещу open-source екосистемата и DevOps инфраструктурите. Компрометирането на един npm пакет или workflow token може да доведе до достъп до вътрешни репозитории, CI/CD среди и чувствителна оперативна информация.
Атаките срещу GitHub Actions, npm и автоматизирани build процеси се превръщат във все по-предпочитан вектор за проникване, тъй като позволяват на нападателите да атакуват едновременно множество организации чрез доверени софтуерни зависимости.
