Grafana：調查發現近期的安全事件未影響客戶生產系統和運營

事件概要

Grafana Labs 官方披露，其內部 GitHub 環境遭未授權訪問，攻擊者利用盜取的令牌下載了包括 Grafana、Loki、Tempo、Pyroscope 在內的完整代碼庫，並試圖勒索贖金。公司已使相關令牌失效，並拒絕支付贖金。

公司調查確認，此次事件中沒有客戶數據或個人資訊被訪問，也未發現對客戶系統或運營造成任何影響的證據。下載的內容僅限於公開與私有源碼，以及團隊用於協作與儲存內部運營資訊的倉庫，涉及業務聯絡姓名與電子郵件地址，並非來自生產系統或雲端平臺的資料。

Grafana Labs 已立即啟動取證分析，並確認已識別出憑證洩漏的來源。公司強調，所有代碼庫均未被篡改，目前客戶與開源使用者無需採取任何行動。

此次事件源於透過 Mini Shai-Hulud 運動進行的 TanStack npm 供應鏈攻擊，攻擊者透過非法獲取 GitHub 存取權杖，竊取內部程式碼庫並企圖勒索。