Grafana Labs GitHub 存取權杖外洩勒索事件
2026年5月,開放原始碼監控平台 Grafana Labs 遭攻擊者竊取 GitHub 存取權杖,進而下載其程式碼庫並實施勒索。2026-05-21 調查報告出爐,確認根源為 TanStack npm 供應鏈攻擊,因 token 未完整輪換而導致入侵擴大。
事件時間軸
| 日期 | 事件 |
|---|---|
| 5月11日 | 偵測到惡意活動,啟動事件應變,輪換大量 GitHub 工作流程權杖(但有遺漏) |
| 5月16日 | 收到勒索信,歹徒要求支付贖金 |
| 5月19日 | 發布官方部落格說明調查結果 |
攻擊鏈
- TanStack npm 供應鏈攻擊 → 殘留未輪換的 GitHub token
- 攻擊者利用殘留 token 存取 GitHub 工作流程環境
- 下載 Grafana Labs 程式碼庫及內部業務資料
- 向 Grafana Labs 要求支付贖金
疑似攻擊者
CoinbaseCartel — 勒索軟體組織,情報來源為 Hackmanac 及 Ransomware.live 追蹤紀錄。
影響範圍
- Grafana Labs 自有程式碼庫遭下載
- 內部營運資訊與業務細節、聯絡窗口姓名與電子郵件遭取得
- 無客戶資料外洩:正式生產系統、Grafana Cloud 平臺未受波及
- 無客戶系統受影響
處置方式
| 步驟 | 動作 |
|---|---|
| 1 | 識別憑證外洩源頭(確認為 TanStack 供應鏈攻擊) |
| 2 | 停用遭外洩的存取權杖 |
| 3 | 稽核 5月11日後所有提交內容 |
| 4 | 部署額外資安防護措施 |
| 5 | 拒絕支付贖金 |
Grafana Labs 拒付贖金的決策依據:自身實務經驗 + FBI 建議。
意義
- 事件應變時的 token 輪換必須全面徹底,不能有遺漏
- 供應鏈攻擊(如 TanStack)可透過間接方式波及下游組織
- 即使是知名開放原始碼公司也可能因憑證管理不當而遭勒索
來源文章
- grafana-labs-github-token-leak-ithome-175878 — 原始報導(2026-05-18)
- ithome-2026-05-21-grafana-labs-tanstack-incident-176015 — 調查結果報導(2026-05-21)
相關頁面
- grafana-labs — Grafana Labs 公司實體
- software-supply-chain-attack — TanStack 供應鏈攻擊概念