Grafana Labs GitHub 存取權杖外洩勒索事件

2026年5月,開放原始碼監控平台 Grafana Labs 遭攻擊者竊取 GitHub 存取權杖,進而下載其程式碼庫並實施勒索。2026-05-21 調查報告出爐,確認根源為 TanStack npm 供應鏈攻擊,因 token 未完整輪換而導致入侵擴大。

事件時間軸

日期事件
5月11日偵測到惡意活動,啟動事件應變,輪換大量 GitHub 工作流程權杖(但有遺漏)
5月16日收到勒索信,歹徒要求支付贖金
5月19日發布官方部落格說明調查結果

攻擊鏈

  1. TanStack npm 供應鏈攻擊 → 殘留未輪換的 GitHub token
  2. 攻擊者利用殘留 token 存取 GitHub 工作流程環境
  3. 下載 Grafana Labs 程式碼庫及內部業務資料
  4. 向 Grafana Labs 要求支付贖金

疑似攻擊者

CoinbaseCartel — 勒索軟體組織,情報來源為 Hackmanac 及 Ransomware.live 追蹤紀錄。

影響範圍

  • Grafana Labs 自有程式碼庫遭下載
  • 內部營運資訊與業務細節、聯絡窗口姓名與電子郵件遭取得
  • 無客戶資料外洩:正式生產系統、Grafana Cloud 平臺未受波及
  • 無客戶系統受影響

處置方式

步驟動作
1識別憑證外洩源頭(確認為 TanStack 供應鏈攻擊)
2停用遭外洩的存取權杖
3稽核 5月11日後所有提交內容
4部署額外資安防護措施
5拒絕支付贖金

Grafana Labs 拒付贖金的決策依據:自身實務經驗 + FBI 建議。

意義

  • 事件應變時的 token 輪換必須全面徹底,不能有遺漏
  • 供應鏈攻擊(如 TanStack)可透過間接方式波及下游組織
  • 即使是知名開放原始碼公司也可能因憑證管理不當而遭勒索

來源文章

相關頁面