O vazamento de dados da **Grafana** foi causado por um único token de fluxo de trabalho do **GitHub** que passou despercebido no processo de rotação após o ataque à cadeia de suprimentos npm da **TanStack** na semana passada. Na campanha em andamento do malware Shai-Hulud, atribuída aos hackers do TeamPCP, dezenas de pacotes **TanStack** infectados com código para roubo de credenciais foram publicados no índice npm, comprometendo ambientes de desenvolvimento, incluindo o da **Grafana**. ### Comprometimento Inicial Quando o pacote npm malicioso foi lançado, o fluxo de trabalho CI/CD da **Grafana** o consumiu, e o módulo info-stealer executou em seu ambiente **GitHub**, exfiltrando tokens de fluxo de trabalho do **GitHub** para os atacantes. A empresa explica que detectou atividade maliciosa resultante de pacotes **TanStack** comprometidos em 1º de maio e imediatamente implementou o plano de resposta a incidentes, que incluiu a rotação de tokens de fluxo de trabalho do **GitHub**. ### Token Perdido Leva ao Vazamento No entanto, um token foi esquecido no processo, e o atacante o utilizou para obter acesso aos repositórios privados da empresa. “Realizamos análises e rotacionamos rapidamente um número significativo de tokens de fluxo de trabalho do **GitHub**, mas um token esquecido levou os atacantes a obterem acesso aos nossos repositórios **GitHub**”, diz a atualização da **Grafana**. “Uma revisão subsequente confirmou que um fluxo de trabalho específico do **GitHub** que originalmente consideramos não impactado havia, de fato, sido comprometido.” ### Impacto e Resposta Anteriormente, a empresa confirmou que os intrusos roubaram código-fonte, garantindo que não houve impacto ao cliente e declarando que os hackers não receberiam pagamento de resgate. A investigação contínua revelou que o intruso também baixou informações operacionais e detalhes que a **Grafana** utiliza para seus negócios. "Isso inclui nomes de contatos comerciais e endereços de e-mail que seriam trocados em um contexto de relacionamento profissional, não informações extraídas ou processadas através do uso de sistemas de produção ou da plataforma **Grafana Cloud**" - **Grafana** A empresa enfatiza que estes não eram dados de produção de clientes e, de acordo com as últimas evidências e investigações, nenhum sistema ou operação de produção de clientes foi comprometido. A **Grafana Labs** também observou que sua base de código não foi modificada durante o incidente, portanto, o código que os usuários baixaram durante os eventos é considerado seguro, e os usuários não precisam tomar nenhuma ação. Se essa avaliação mudar com base em novas evidências da investigação em andamento, a **Grafana Labs** prometeu notificar os clientes impactados diretamente.  ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia aborda as 6 superfícies que você realmente precisa validar.