Svmuu訊 Grafana Labs 在 X 平台發文表示,5 月 16 日確認遭受針對性駭客攻擊。攻擊者透過 TanStack npm 供應鏈攻擊(Mini Shai-Hulud 活動)獲得其 GitHub 儲存庫的未授權存取權限並下載了程式碼庫,隨後發出勒索威脅。
調查表明,本次事件嚴格限制在 Grafana Labs 的 GitHub 環境,沒有證據表明客戶的生產系統、營運或 Grafana Cloud 平台受到影響。下載內容除原始碼外,還包括部分內部業務聯繫人的姓名和電子郵件。攻擊者雖下載了程式碼庫但未進行篡改。Grafana Labs 決定拒絕支付贖金,並已通報聯邦執法部門。目前正在實施加強 CI/CD 管道安全等防禦措施。