Grafana Labs сообщила об утечке исходного кода через атаку на npm-пакеты TanStack

Grafana Labs подтвердила несанкционированный доступ к своим GitHub-репозиториям: злоумышленники скачали кодовую базу, включая публичный и приватный исходный код, а также часть внутренних репозиториев. Компания связывает инцидент с атакой на цепочку поставок npm-пакетов TanStack в рамках кампании Mini Shai-Hulud и заявляет, что не нашла признаков компрометации клиентских production-систем или Grafana Cloud.

Grafana Labs сообщила, что расследование инцидента выявило несанкционированный доступ к её GitHub-среде. По данным компании, злоумышленники скачали кодовую базу, включая публичный и приватный исходный код, а также внутренние репозитории, где отдельные команды хранили операционную информацию и деловые контактные данные.

Инцидент, по версии Grafana Labs, начался с атаки на цепочку поставок npm-пакетов TanStack в рамках кампании Mini Shai-Hulud. Подозрительную активность компания обнаружила 11 мая 2026 года и начала ротацию GitHub workflow-токенов, однако один пропущенный токен позволил атакующим получить доступ к репозиториям.

16 мая Grafana Labs получила требование выкупа за неразглашение украденной кодовой базы, но отказалась платить. Компания подчёркивает, что код был скачан, но не изменён, а признаков компрометации клиентских production-систем, операций клиентов или платформы Grafana Cloud не обнаружено; пользователям Grafana Cloud и open source-проектов Grafana дополнительных действий сейчас не требуется.

Grafana Labs заявила, что уже ротирует automation-токены, усиливает мониторинг, проверяет коммиты после инцидента 11 мая и ужесточает защиту CI/CD-пайплайнов и GitHub-инфраструктуры. Также компания уведомила федеральные правоохранительные органы и пообещала опубликовать постинцидентный отчёт после завершения расследования.