Grafana遭勒索组织入侵，源代码泄露但拒付赎金

安全资讯  2026年05月22日 15:48:30

Grafana Labs 确认了一起安全事件，此前勒索组织 Coinbase Cartel 于 5 月 15 日将其列入泄露网站并声称窃取了数据。此次入侵由遭泄露的令牌触发，攻击者借此获得了访问该公司 GitHub 环境的权限。
Grafana Labs 是一家以开发开源工具闻名的软件公司，其产品主要用于监控和可视化来自 IT 系统、应用程序和基础设施的数据。其主打产品 Grafana 可帮助组织创建仪表板，实时跟踪性能指标、日志和警报。该产品广泛应用于云计算、DevOps 和网络安全环境，协助团队快速了解系统健康状况并排查问题。
Part01攻击细节与响应措施
Coinbase Cartel 组织随后将 Grafana 添加至其受害者门户。Grafana 表示攻击者访问了部分源代码，但未发现客户数据泄露、个人信息暴露或影响客户系统及运营的证据。
该公司已撤销并重置了遭泄露的凭证，同时启动取证调查以确定令牌如何暴露、哪些代码库被访问以及是否有其他系统受到影响。Grafana 承诺调查完成后将公布更多细节。
Part02勒索威胁与组织背景
Grafana Labs 表示不会支付攻击者要求的赎金以防止被盗源代码公开。截至发稿时，Coinbase Cartel 组织尚未发布 Grafana 的数据，但据称已发出威胁警告，称若其要求被忽视将面临潜在后果。
Coinbase Cartel 自 2025 年 9 月起活跃，已声称攻击了 100 多个受害者。与传统勒索软件团伙不同，该组织专注于窃取数据并勒索公司而非加密系统。这种方式使受害者能够继续运营，但仍面临与文件、凭证和知识产权被盗相关的严重风险。
研究人员将 Coinbase Cartel 与更广泛的生态系统联系起来，包括 ShinyHunters、Scattered Spider 和 Lapsus$ 等组织，这些组织以利用窃取的凭证、社会工程学、云滥用和开发环境入侵而闻名。
Part03安全启示与防护建议
遭泄露或暴露的 GitHub 令牌可能使攻击者直接访问敏感的源代码库，这使得 GitHub 等平台成为现代攻击的关键目标。就 Grafana Labs 而言，该公司表示客户系统未受影响，但被盗源代码仍存在风险，因为私有代码库可能包含内部逻辑、密钥、构建流程或未发布功能，攻击者可分析这些内容寻找漏洞或用于钓鱼和供应链攻击。
该事件凸显了强化令牌安全的重要性。访问令牌应具有短暂有效期、严格限定权限范围、定期轮换、受到监控，并在检测到可疑活动时快速撤销，同时应通过防钓鱼的多因素认证（MFA）和严格的最小权限控制来保护代码库访问。
该事件还突显了源代码平台如何成为勒索组织的首要目标，因为它们处于软件开发的核心位置。
翻译自：cybersecuritynews