Grafana Labs は 5 月 16 日、社内 GitHub 環境への不正アクセスが発生し、複数の非公開リポジトリのコードベースが外部にダウンロードされたと公表しました。データ恐喝集団 CoinbaseCartel が犯行を主張しましたが、同社は身代金支払いを拒否しています。
主なポイント
- 攻撃者は Grafana のリポジトリを Fork した上で
curlで悪性ペイロードを取り込む GitHub Actions ワークフローを差し込み、環境変数をプライベート鍵で暗号化したファイルへダンプして特権トークンを窃取 - 窃取したトークンを使って同じ手口を 4 件の非公開リポジトリへ展開後、Fork を削除して痕跡を消去
- 攻撃者は流出コードの公開を盾に支払いを要求したが、Grafana は FBI の助言に従い拒否。「支払ってもデータが戻る保証はなく、攻撃者を勢いづかせるだけ」とコメント
- フォレンジック調査の結果、顧客データや個人情報へのアクセスは確認されず、顧客環境への影響もないとする
- CoinbaseCartel は 2025 年 9 月に登場した ShinyHunters・Scattered Spider 系のオフショット集団で、医療・テック・運輸など 170 件以上の被害を主張
出典: Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt