Vazamento do Grafana causado por falha na rotação de tokens após ataque do TanStack
A Grafana teve uma violação de dados por causa de um token de GitHub
não rotacionado,
permitindo acesso a repositórios privados, mas não
afetou dados de clientes.
A violação de dados do Grafana foi causada por um único token de fluxo de trabalho do GitHub que passou despercebido no processo de rotação após o ataque à cadeia de suprimentos do npm realizado pelo TanStack na semana passada.
Na campanha de malware Shai-Hulud, atribuída aos hackers do TeamPCP, dezenas de pacotes do TanStack infectados com código para roubo de credenciais foram publicados no índice do npm, comprometendo ambientes de desenvolvimento, incluindo o do Grafana.
Quando o pacote malicioso do npm foi liberado, o fluxo de trabalho de CI/CD do Grafana o consumiu, e o módulo de roubo de informações foi executado em seu ambiente GitHub, exfiltrando tokens de fluxo de trabalho do GitHub para os atacantes.
A empresa explica que detectou atividade maliciosa resultante de pacotes TanStack comprometidos em 1º de maio e imediatamente implementou o plano de resposta a incidentes, que incluía a rotação de tokens de fluxo de trabalho do GitHub.
No entanto, um token foi perdido no processo e o invasor o utilizou para obter acesso aos repositórios privados da empresa.
“Realizamos análises e rapidamente rotacionamos um número significativo de tokens de fluxo de trabalho do GitHub, mas um token perdido permitiu que os invasores obtivessem acesso aos nossos repositórios do GitHub”, diz a atualização da Grafana.
“Uma revisão subsequente confirmou que um fluxo de trabalho específico do GitHub, que inicialmente consideramos não afetado, havia sido, na verdade, comprometido.”
Anteriormente, a empresa confirmou que os invasores roubaram o código-fonte, garantindo que não houve impacto para os clientes e afirmando que os hackers não receberiam pagamento de resgate.
A investigação subsequente revelou que o invasor também baixou informações operacionais e detalhes que a Grafana utiliza em seus negócios.
A Grafana Labs também observou que seu código-fonte não foi modificado durante o incidente, portanto, o código baixado pelos usuários durante o ocorrido é considerado seguro e nenhuma ação precisa ser tomada.
Caso essa avaliação mude com base em novas evidências da investigação em andamento, a Grafana Labs prometeu notificar diretamente os clientes afetados.
Fonte:https://www.bleepingcomputer.com/news/security/grafana-breach-caused-by-missed-token-rotation-after-tanstack-attack/