Grafana：サプライチェーン攻撃を受けるも、セキュリティインシデントは顧客の本番システムと運用に影響せず

Odaily 星球日報によると、Grafana Labs は X プラットフォームにて、5月16日に標的型ハッキング攻撃を受けたことを確認したと発表しました。攻撃者は、TanStack npm サプライチェーン攻撃（Mini Shai-Hulud アクティビティ）を通じて、同社の GitHub リポジトリへの不正アクセスを取得し、コードベースをダウンロードした後、身代金を要求する脅迫を行いました。

調査によると、今回のインシデントは厳密に Grafana Labs の GitHub 環境に限定されており、顧客の本番システム、運用、または Grafana Cloud プラットフォームが影響を受けたという証拠はありません。ダウンロードされた内容には、ソースコードに加えて、一部の社内ビジネス関係者の氏名と電子メールアドレスが含まれていました。攻撃者はコードベースをダウンロードしましたが、改ざんは行っていません。Grafana Labs は身代金の支払いを拒否することを決定し、連邦捜査当局にも通報済みです。現在、CI/CD パイプラインのセキュリティ強化などの防御策を実施しています。