La brecha de datos de **Grafana** fue causada por un único token de flujo de trabajo de **GitHub** que se omitió en el proceso de rotación tras el ataque a la cadena de suministro npm de **TanStack** la semana pasada. En la actual campaña de malware Shai-Hulud, atribuida a los hackers de TeamPCP, docenas de paquetes de **TanStack** infectados con código para robar credenciales fueron publicados en el índice npm, comprometiendo entornos de desarrolladores, incluido el de **Grafana**. ### Compromiso Inicial Cuando se lanzó el paquete npm malicioso, el flujo de trabajo CI/CD de **Grafana** lo consumió, y el módulo de robo de información se ejecutó en su entorno de **GitHub**, exfiltrando tokens de flujo de trabajo de **GitHub** a los atacantes. La empresa explica que detectó actividad maliciosa resultante de paquetes de **TanStack** comprometidos el 1 de mayo, y desplegó inmediatamente el plan de respuesta a incidentes, que incluyó la rotación de tokens de flujo de trabajo de **GitHub**. ### Token Omitido Conduce a la Brecha Sin embargo, un token se omitió en el proceso, y el atacante lo utilizó para obtener acceso a los repositorios privados de la empresa. “Realizamos un análisis y rotamos rápidamente un número significativo de tokens de flujo de trabajo de **GitHub**, pero un token omitido llevó a que los atacantes obtuvieran acceso a nuestros repositorios de **GitHub**”, se lee en la actualización de **Grafana**. “Una revisión posterior confirmó que un flujo de trabajo específico de **GitHub** que originalmente considerábamos no afectado, de hecho, había sido comprometido”. ### Impacto y Respuesta Anteriormente, la empresa confirmó que los intrusos robaron código fuente, asegurando que no hubo impacto en los clientes y declarando que los hackers no recibirían un pago de rescate. La investigación continua reveló que el intruso también descargó información operativa y detalles que **Grafana** utiliza para su negocio. "Esto incluye nombres y direcciones de correo electrónico de contactos comerciales que se intercambiarían en un contexto de relación profesional, no información extraída o procesada a través del uso de sistemas de producción o la plataforma **Grafana Cloud**" - **Grafana** La empresa enfatiza que estos no eran datos de producción de clientes y, según la evidencia e investigación más recientes, ningún sistema u operación de producción de clientes ha sido comprometido. **Grafana Labs** también señaló que su base de código no fue modificada durante el incidente, por lo que el código que los usuarios descargaron durante los eventos se considera seguro y los usuarios no requieren tomar ninguna acción. Si esa evaluación cambia en base a nueva evidencia de la investigación en curso, **Grafana Labs** prometió notificar directamente a los clientes afectados.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas de pruebas de penetración automatizadas ofrecen un valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son sólidas. Esta guía cubre las 6 superficies que realmente necesitas validar.