Grafana：遭受供應鏈攻擊，但安全事件未影響客戶生產系統和營運

Odaily星球日報訊 Grafana Labs 在 X 平台發文表示，5 月 16 日確認遭受針對性駭客攻擊。攻擊者透過 TanStack npm 供應鏈攻擊（Mini Shai-Hulud 活動）獲得其 GitHub 儲存庫的未授權存取權限並下載了程式碼庫，隨後發出勒索威脅。

調查表明，本次事件嚴格限制在 Grafana Labs 的 GitHub 環境，沒有證據表明客戶的生產系統、營運或 Grafana Cloud 平台受到影響。下載內容除原始碼外，還包括部分內部業務聯繫人的姓名和電子郵件。攻擊者雖下載了程式碼庫但未進行篡改。Grafana Labs 決定拒絕支付贖金，並已通報聯邦執法部門。目前正在實施加強 CI/CD 管道安全等防禦措施。