PANews 5月20日消息，开源数据可视化工具Grafana发布对5月16日的安全事件调查的最新进展，调查发现，此次事件仅限于Grafana Labs的GitHub环境，包括公开和私有源代码以及内部GitHub仓库，并未影响客户生产系统、运营或Grafana Cloud平台。下载的内容除源代码外，还包含部分团队用于协作和存储内部运营信息及业务细节的仓库，涉及业务联系姓名和邮箱地址，而非来自生产系统或云平台的数据。Grafana Labs明确表示代码库被下载但未被篡改，目前客户和开源用户无需采取任何行动。该事件源于通过Mini Shai-Hulud运动进行的TanStack npm供应链攻击。Grafana Labs于5月11日检测到恶意活动并启动应急响应，但因遗漏一个凭证导致攻击者获得访问权限。5月16日收到赎金要求后，公司决定不支付赎金，并已轮换自动化凭证、实施增强监控、审计自5月11日以来的所有提交，并大幅强化了GitHub安全配置。公司已通知联邦执法部门，调查仍在进行中。

此前5月18日消息，Grafana Labs披露GitHub环境安全事件，称客户数据未受影响并拒绝支付赎金。