La violation de données de **Grafana** a été causée par un unique jeton de workflow **GitHub** qui a échappé au processus de rotation suite à l'attaque de la chaîne d'approvisionnement npm de **TanStack** la semaine dernière. Dans la campagne de malware Shai-Hulud, attribuée aux pirates de TeamPCP, des dizaines de packages **TanStack** infectés par du code de vol d'informations d'identification ont été publiés sur l'index npm, compromettant les environnements de développement, y compris celui de **Grafana**. ### Compromission Initiale Lorsque le package npm malveillant a été publié, le workflow CI/CD de **Grafana** l'a consommé, et le module d'extraction d'informations s'est exécuté dans son environnement **GitHub**, exfiltrant des jetons de workflow **GitHub** vers les attaquants. L'entreprise explique avoir détecté une activité malveillante résultant de packages **TanStack** compromis le 1er mai, et a immédiatement déployé le plan de réponse aux incidents, qui incluait le renouvellement des jetons de workflow **GitHub**. ### Jeton Oublié Conduit à la Violation Cependant, un jeton a été oublié lors du processus, et l'attaquant l'a utilisé pour accéder aux dépôts privés de l'entreprise. « Nous avons effectué une analyse et renouvelé rapidement un nombre significatif de jetons de workflow **GitHub**, mais un jeton oublié a permis aux attaquants d'accéder à nos dépôts **GitHub** », indique la mise à jour de **Grafana**. « Un examen ultérieur a confirmé qu'un workflow **GitHub** spécifique que nous avions initialement jugé non impacté avait, en fait, été compromis. » ### Impact et Réponse Précédemment, l'entreprise avait confirmé que les intrus avaient volé du code source, assurant qu'il n'y avait aucun impact sur les clients et déclarant que les pirates ne recevraient aucune rançon. L'enquête continue a révélé que l'intrus avait également téléchargé des informations opérationnelles et des détails que **Grafana** utilise pour ses activités. « Cela inclut des noms de contacts professionnels et des adresses e-mail qui seraient échangés dans un contexte de relation professionnelle, et non des informations extraites ou traitées par l'utilisation de systèmes de production ou de la plateforme **Grafana Cloud** » - **Grafana** L'entreprise souligne qu'il ne s'agissait pas de données de production client, et selon les dernières preuves et l'enquête, aucun système ou opération de production client n'a été compromis. **Grafana Labs** a également noté que sa base de code n'a pas été modifiée pendant l'incident, donc le code que les utilisateurs ont téléchargé pendant les événements est considéré comme sûr, et les utilisateurs ne sont pas tenus de prendre de mesures. Si cette évaluation change en fonction de nouvelles preuves issues de l'enquête en cours, **Grafana Labs** s'est engagé à informer directement les clients concernés.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider.