Popüler açık kaynak analitik yazılım geliştiricisi Grafana Labs, geçtiğimiz günlerde yaşadığı veri ihlali ve şantaj olayının, TanStack paketlerini hedef alan Mini Shai-Hulud kampanyasından kaynaklandığını açıkladı. Yapay zeka destekli görselleştirme uygulaması Grafana’nın geliştiricisi olan şirket, 17 Mayıs’ta, yetkisiz bir saldırganın GitHub ortamına erişerek kod tabanını indirdiğini tespit ettiğini duyurmuştu.
Şirket bu hafta yaptığı güncellemede, kötü niyetli faaliyeti ilk olarak 11 Mayıs’ta fark ettiğini ve bunu TanStack tedarik zinciri saldırılarına bağladığını belirtti. TeamPCP tehdit aktörleri, CI/CD ortamlarını (GitHub Actions dahil) hedef alan kimlik bilgisi çalan kötü amaçlı yazılımlarla düzinelerce TanStack npm paketini ele geçirdi. Bu durum, kötü niyetli bir paket yayınlandığında Grafana’nın CI/CD ortamının otomatik olarak onu tüketmesine ve bilgi hırsızının GitHub iş akışı token’larını sızdırmak için çalışmasına neden oldu.
Grafana, yaptığı analiz sonucunda önemli sayıda GitHub iş akışı token’ını hızla döndürdüğünü ancak gözden kaçan bir token nedeniyle saldırganların GitHub depolarına erişim sağladığını itiraf etti. Daha sonra yapılan incelemede, başlangıçta etkilenmediği düşünülen belirli bir GitHub iş akışının aslında tehlikeye atıldığı doğrulandı. Fidye çetesiyle temasa geçer geçmez azaltma çabaları başlattıklarını belirten Grafana, otomasyon token’larını döndürme, gelişmiş izleme uygulama, 11 Mayıs olayından bu yana tüm commit’leri denetleme ve GitHub güvenlik duruşunu önemli ölçüde sağlamlaştırma gibi önlemler aldıklarını aktardı.
Grafana Labs, TeamPCP’nin kod tabanının yanı sıra GitHub depolarından ek ‘iç operasyonel bilgiler ve diğer detayları’ da çaldığını paylaştı. Bunların arasında profesyonel ilişki bağlamında paylaşılan iş iletişim adları ve e-posta adresleri bulunuyor ancak üretim sistemleri veya Grafana Cloud platformu aracılığıyla işlenen bilgiler yer almıyor. Şirket, müşteri üretim sistemlerinin veya operasyonlarının tehlikeye atıldığına dair henüz bir belirti olmadığını yineledi. Mini Shai-Hulud kampanyası, yalnızca TanStack kullanıcılarını değil, OpenSearch npm sürümleri, PyPI mistralai ve guardrails-ai gibi diğer paketleri de etkileyerek geniş bir etki yarattı.