Auf den Punkt: Der Supply-Chain-Angriff über TanStack npm ließ Grafana-Angreifer (TeamPCP) in GitHub-Workflows eindringen, worauf es zu einem fehlgeschlagenen Erpressungsversuch durch CoinbaseCartel kam.
Bei einer Untersuchung des Bruchs in die GitHub-Infrastruktur von Grafana Labs am 19. Mai 2026 bestätigte das Unternehmen: Kundensysteme sind nicht kompromittiert, doch umfangreicher Quellcode und interne Repositories wurden gestohlen.
Grafana Labs präzisierte am 19. Mai 2026 den Umfang der Sicherheitsverletzung: Der Schaden beschränkt sich auf die GitHub-Umgebung des Unternehmens. Neben öffentlichem und privatem Quellcode wurden interne GitHub-Repositories heruntergeladen, die verschiedene Teams für Zusammenarbeit und Speicherung operativer Informationen nutzen. Darin enthalten waren Geschäftskontakte, Namen und E-Mail-Adressen in beruflichem Kontext – nicht jedoch Daten aus Produktionssystemen oder der Grafana-Cloud-Plattform.
Die Attacke stammte aus der TanStack-npm-Supply-Chain-Kampagne, orchestriert durch die Angreifer-Gruppe TeamPCP, die auch OpenAI und Mistral AI ins Visier nahm. Grafana erkannte die Aktivität am 11. Mai 2026. Das Unternehmen rotierte daraufhin zahlreiche GitHub-Workflow-Token, übersah jedoch einen Token, über den die Angreifer Zugriff auf die Repositories erlangten. Bei nachgelagerten Überprüfungen stellte sich heraus, dass ein als unkompromittiert bewerteter Workflow tatsächlich betroffen war.
Am 16. Mai erhielt Grafana eine Erpressungsdemand von unbenannten Threat-Akteuren. Das Unternehmen lehnte die Zahlung ab, da keine Garantie besteht, dass gestohlene Daten tatsächlich gelöscht werden, und ein Lösegeld künftige Kampagnen fördern könnte. Die Dark-Web-Gruppe CoinbaseCartel listete Grafana Labs bereits am 15. Mai auf ihrer Seite auf.
Als Gegenmaßnahmen implementierte Grafana Automation-Token-Rotation, erweiterte Überwachung, Audits aller Commits auf Malware-Indikatoren und erhöhte GitHub-Sicherheitsmaßnahmen insgesamt. Parallel untersucht GitHub selbst einen unauthorisierten Zugriff auf interne Repositories nach Listung von Plattform-Quellcode durch TeamPCP auf Cybercrime-Foren.
Quelle: ainews-dev.lumi-systems.io · Erschienen 20. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.