Grafana 令牌被盗，GitHub 环境可遭访问且代码库被下载

聚焦源代码安全网罗国内外最新资讯编译代码卫士Grafana 披露称一个“未经授权方”获取了一个令牌能够访问公司的 GitHub 环境并下载代码库。Grafana 在 X 平台上发布帖子中表示“我们的调查认定该事件未导致任何客户数据或个人信息被访问也未有证据表明客户系统或运营受影响。”该公司还表示发现该攻击活动后立即启动了取证分析并找到了泄露的来源。该公司补充称已被泄露的凭证已失效并已实施额外的安全措施以防止未经授权的访问。此外Grafana 透露称攻击者试图实施敲诈勒索要求支付赎金以阻止被盗数据库被公开。Grafana 表示引用美国联邦调查局FBI的建议公司选择不支付赎金。FBI 此前曾警告不要与犯罪者谈判赎金因为无法保证这样做能帮助受影响公司取回数据。美国联邦调查局在其网站上指出“这还会鼓励犯罪者锁定更多受害者并为其他人参与此类非法活动提供诱因。”Grafana 并未透露事件发生的时间也未说明攻击者自何时起能够访问环境仅表示“近期”得知此次攻击。该事件尚未归因为任何已知的攻击者或组织。不过Hackmanac 和 Ransomware.live 发布报告提到一个名为 CoinbaseCartel 的网络犯罪团伙已宣称对此次事件负责。根据 Halcyon 和 Fortinet FortiGuard 实验室分享的细节CoinbaseCartel 是一个数据勒索团伙现身于 2025 年 9 月。据评估该团伙是 ShinyHunters、Scattered Spider 和 LAPSUS$ 等生态系统的分支。该团伙与传统勒索软件团伙不同只专注于数据窃取和勒索已在医疗、科技、交通运输、制造及商业服务等领域积累了170个受害目标。Grafana 也未透露攻击者下载了哪个代码库。但该公司提供多种解决方案例如 Grafana Cloud它是一个面向应用和基础设施的全托管、云托管可观测性平台。Grafana该公司尚未就此置评。就在该事件发生的前几天美国教育科技公司 Instructure 做出了一个有争议的决定即向 ShinyHunters 勒索团伙妥协。该团伙此前威胁要泄露属于美国数千所中小学和大学的数 TB 数据。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读Grafana 修复可泄露用户数据的 AI 漏洞Grafana 多个严重漏洞可用于实现 RCEGrafana SCIM 中存在严重漏洞可导致身份冒充或提权速修复Grafana 修复中存在四个严重的RCE漏洞原文链接https://thehackernews.com/2026/05/grafana-github-token-breach-led-to.html题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~