Photo by Stockcake

Token esquecido causou invasão aos repositórios da Grafana

A invasão aos repositórios da Grafana foi causada por um único token de fluxo de trabalho do GitHub que escapou do processo de rotação realizado após o ataque à cadeia de suprimentos do pacote npm TanStack, ocorrido na semana passada. A empresa detectou atividade maliciosa em 1º de maio e imediatamente acionou seu plano de resposta, que incluía a rotação dos tokens.

“Realizamos análises e rotacionamos rapidamente um número significativo de tokens, mas um token perdido permitiu que os atacantes acessassem nossos repositórios”, explicou a empresa em uma atualização. “Uma revisão subsequente confirmou que um fluxo de trabalho específico que consideramos inicialmente não afetado havia, de fato, sido comprometido.”

Campanha Shai-Hulud atinge cadeia de suprimentos

Os invasores publicaram dezenas de pacotes do TanStack infectados com código que rouba credenciais no índice npm. O conjunto de ferramentas de desenvolvimento é amplamente utilizado para construir tabelas e grades de dados em aplicações web. O fluxo de CI/CD da Grafana consumiu um dos pacotes maliciosos, e o módulo de roubo de informações foi executado em seu ambiente GitHub, exfiltrado tokens para os atacantes.

O grupo de hackers TeamPCP é apontado como responsável pela campanha Shai-Hulud. Os mesmos criminosos estiveram envolvidos no recente ataque que comprometeu 3.800 repositórios internos da GitHub por meio de uma extensão maliciosa do VSCode.

Dados de negócio foram expostos, mas não clientes

A investigação em andamento revelou que os intrusos roubaram código-fonte e também baixaram informações operacionais e detalhes usados pela empresa para seus negócios, incluindo nomes de contatos comerciais e endereços de e-mail. A Grafana enfatizou que não se trata de dados de clientes provenientes de sistemas de produção ou da plataforma de nuvem da empresa.

“Não houve qualquer evidência de que sistemas de produção ou operações de clientes tenham sido comprometidos”, afirmou a empresa. O código da Grafana não foi modificado durante o incidente, e os usuários não precisam tomar nenhuma providência. Caso essa avaliação mude com novas evidências, a empresa prometeu notificar os clientes afetados diretamente.