**Grafana**のデータ侵害は、先週発生した**TanStack**のnpmサプライチェーン攻撃の後、ローテーションプロセスで見落とされた単一の**GitHub**ワークフロー・トークンによって引き起こされました。 TeamPCPハッカーに起因するとされる進行中のShai-Huludマルウェアキャンペーンにおいて、認証情報窃取コードに感染した多数の**TanStack**パッケージがnpmインデックスに公開され、**Grafana**を含む開発者環境が侵害されました。 ### 初期侵害 悪意のあるnpmパッケージがリリースされた際、**Grafana**のCI/CDワークフローがそれを消費し、その中の情報窃取モジュールが**GitHub**環境で実行され、**GitHub**ワークフロー・トークンが攻撃者に漏洩しました。 同社によると、5月1日に侵害された**TanStack**パッケージに起因する悪意のあるアクティビティを検出し、直ちにインシデント対応計画を展開し、**GitHub**ワークフロー・トークンのローテーションを実施しました。 ### トークン漏れによる侵害 しかし、プロセス中に1つのトークンが見落とされ、攻撃者はそれを使用して同社のプライベートリポジトリにアクセスしました。 「分析を実施し、多数の**GitHub**ワークフロー・トークンを迅速にローテーションしましたが、見落とされたトークンにより、攻撃者が当社の**GitHub**リポジトリにアクセスすることができました」と**Grafana**のアップデートは述べています。 「その後のレビューで、当初影響がないと判断されていた特定の**GitHub**ワークフローが、実際には侵害されていたことが確認されました。」 ### 影響と対応 同社は以前、攻撃者がソースコードを盗んだことを確認し、顧客への影響はないと断言し、ハッカーへの身代金支払いは行わないと述べていました。 継続的な調査により、攻撃者は**Grafana**が事業に使用する運用情報や詳細情報もダウンロードしていたことが明らかになりました。 「これには、ビジネス上の連絡先名やメールアドレスが含まれます。これらは、プロフェッショナルな関係の文脈で交換される情報であり、本番システムの使用を通じて取得または処理された情報や、**Grafana Cloud**プラットフォームの情報ではありません」- **Grafana** 同社は、これが顧客の本番データではないこと、そして最新の証拠と調査によると、顧客の本番システムや運用は侵害されていないことを強調しています。 **Grafana Labs**はまた、インシデント中にコードベースが改変されていないため、イベント中にユーザーがダウンロードしたコードは安全であり、ユーザーは何も対応する必要はないと述べています。 継続的な調査からの新しい証拠に基づいてその評価が変わる場合、**Grafana Labs**は影響を受けた顧客に直接通知することを約束しています。  ## 検証のギャップ：自動ペネトレーションテストは1つの質問に答える。あなたには6つ必要。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド設定が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。