Grafana のデータ侵害は、先週の TanStack npm サプライ チェーン攻撃後のローテーション プロセスをすり抜けた単一の GitHub ワークフロー トークンによって引き起こされました。
TeamPCP ハッカーによるものとされる Shai-Hulud の進行中のマルウェア キャンペーンでは、証明書を盗むコードに感染した数十の TanStack パッケージが npm インデックスに公開され、Grafana を含む開発者環境に影響を与えました。
悪意のある npm パッケージがリリースされると、Grafana の CI/CD ワークフローがそれを消費し、GitHub 環境でデータ盗難モジュールがアクティブ化され、GitHub ワークフロー トークンが攻撃者に発行されました。
同社は、5 月 1 日に TanStack パッケージの侵害による悪意のあるアクティビティを検出し、GitHub ワークフロー トークンの配布を含むインシデント対応計画を直ちに展開したと説明しています。
しかし、その過程で 1 つのトークンが失われ、攻撃者はそれを使用して会社のプライベート リポジトリにアクセスしました。
「私たちは分析を実行し、大量の GitHub ワークフロー トークンを迅速にローテーションしましたが、トークンが置き忘れられたため、攻撃者が私たちの GitHub リポジトリにアクセスするようになりました」と Grafana 氏は更新情報で述べています。
「その後のテストにより、当初は影響を受けていないと思われた特定の GitHub ワークフローが、実際には侵害されていることが確認されました。」
以前同社は、侵入者がソースコードを盗んだことを確認し、顧客への影響はないと保証し、ハッカーは身代金を受け取らないと述べていた。
さらなる調査により、侵入者は Grafana が業務に使用する運用情報と詳細もダウンロードしたことが判明しました。
「これには、実稼働システムや Grafana クラウド プラットフォームを通じて取得または処理される情報ではなく、職業上の関係の中で交換されるビジネス上の連絡先名や電子メール アドレスが含まれます。」 – Grafana
同社は、これは顧客の生産データではなく、最新の証拠と調査によれば、顧客の生産システムや業務には影響がなかったと強調している。
Grafana Labs はまた、インシデント中にそのコード ベースは変更されていないため、イベント中にユーザーがダウンロードしたコードは安全であると考えられており、ユーザーは何らかの措置を講じる必要はないと述べています。
進行中の調査で得られた新たな証拠に基づいてこの評価が変更された場合、Grafana Labs は影響を受ける顧客に直接通知すると約束しています。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
Leave a Reply