Das **Grafana**-Datenleck wurde durch ein einzelnes **GitHub**-Workflow-Token verursacht, das nach dem **TanStack** npm Supply-Chain-Angriff in der letzten Woche den Rotationsprozess durchlief. Im Rahmen der laufenden Shai-Hulud-Malware-Kampagne, die den TeamPCP-Hackern zugeschrieben wird, wurden Dutzende von **TanStack**-Paketen, die mit Credential-Stealing-Code infiziert waren, im npm-Index veröffentlicht und kompromittierten Entwicklerumgebungen, einschließlich der von **Grafana**. ### Ursprüngliche Kompromittierung Als das bösartige npm-Paket veröffentlicht wurde, konsumierte der CI/CD-Workflow von **Grafana** es, und das Info-Stealer-Modul wurde in seiner **GitHub**-Umgebung ausgeführt, wodurch **GitHub**-Workflow-Token an die Angreifer exfiltriert wurden. Das Unternehmen erklärt, dass es am 1. Mai bösartige Aktivitäten infolge kompromittierter **TanStack**-Pakete erkannte und sofort den Incident-Response-Plan aktivierte, der die Rotation von **GitHub**-Workflow-Token beinhaltete. ### Vergessenes Token führt zu Datenleck Ein Token wurde jedoch im Prozess übersehen, und der Angreifer nutzte es, um Zugang zu den privaten Repositories des Unternehmens zu erhalten. „Wir führten eine Analyse durch und rotierten schnell eine beträchtliche Anzahl von **GitHub**-Workflow-Token, aber ein übersehenes Token führte dazu, dass die Angreifer Zugriff auf unsere **GitHub**-Repositories erhielten“, heißt es in **Grafanas** Update. „Eine anschließende Überprüfung bestätigte, dass ein bestimmtes **GitHub**-Workflow, das wir ursprünglich als nicht betroffen eingestuft hatten, tatsächlich kompromittiert worden war.“ ### Auswirkungen und Reaktion Zuvor bestätigte das Unternehmen, dass die Eindringlinge Quellcode gestohlen hatten, versicherte jedoch, dass es keine Auswirkungen auf Kunden gab und erklärte, dass die Hacker keine Lösegeldzahlung erhalten würden. Die fortlaufende Untersuchung ergab, dass der Angreifer auch operative Informationen und Details heruntergeladen hat, die **Grafana** für sein Geschäft verwendet. "Dies umfasst Namen und E-Mail-Adressen von Geschäftskontakten, die im Rahmen einer professionellen Beziehung ausgetauscht würden, nicht Informationen, die aus Produktionssystemen oder der **Grafana Cloud**-Plattform stammen oder über diese verarbeitet werden" - **Grafana** Das Unternehmen betont, dass es sich nicht um Produktionsdaten von Kunden handelte und dass nach den neuesten Beweisen und Ermittlungen keine Produktionssysteme oder -operationen von Kunden kompromittiert wurden. **Grafana Labs** stellte außerdem fest, dass seine Codebasis während des Vorfalls nicht verändert wurde, sodass der Code, den Benutzer während der Ereignisse heruntergeladen haben, als sicher gilt und die Benutzer keine Maßnahmen ergreifen müssen. Sollte sich diese Einschätzung aufgrund neuer Beweise aus den laufenden Ermittlungen ändern, versprach **Grafana Labs**, betroffene Kunden direkt zu benachrichtigen.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen.