Grafana：遭受供應鏈攻擊，但安全事件未影響客戶生產系統和運營

Grafana Labs 在 X 平臺發文表示，5 月 16 日確認遭受針對性黑客攻擊。攻擊者通過 TanStack npm 供應鏈攻擊（Mini Shai-Hulud 活動）獲得其 GitHub 存儲庫的未授權訪問權限並下載了代碼庫，隨後發出勒索威脅。調查表明，本次事件嚴格限制在 Grafana Labs 的 GitHub 環境，沒有證據表明客戶的生產系統、運營或 Grafana Cloud 平臺受到影響。下載內容除源代碼外，還包括部分內部業務聯繫人的姓名和電子郵箱。攻擊者雖下載了代碼庫但未進行篡改。Grafana Labs 決定拒絕支付贖金，並已通報聯邦執法部門。目前正在實施加強 CI/CD 管道安全等防禦措施。