PANewsは5月20日、オープンソースのデータ可視化ツールであるGrafanaが、5月16日のセキュリティインシデントに関する調査の最新情報を発表したと報じた。調査の結果、このインシデントはGrafana LabsのGitHub環境（公開および非公開のソースコード、内部GitHubリポジトリを含む）に限定されており、顧客の本番システム、運用、またはGrafana Cloudプラットフォームには影響がなかったことが判明した。ダウンロードされたコンテンツには、ソースコードに加えて、本番システムやクラウドプラットフォームのデータではなく、一部のチームがコラボレーションや内部運用情報、ビジネスの詳細（ビジネス担当者の名前やメールアドレスなど）を保存するために使用しているリポジトリが含まれていた。Grafana Labsは、コードベースはダウンロードされたものの改ざんされておらず、現時点では顧客やオープンソースユーザーは何もする必要がないと明言した。このインシデントは、Mini Shai-Huludキャンペーンを通じて実行されたTanStack npmサプライチェーン攻撃に端を発している。Grafana Labsは5月11日に悪意のある活動を検知し、インシデント対応を開始したが、認証情報の不備により攻撃者がアクセスできてしまった。 5月16日に身代金要求を受けた後、同社は身代金を支払わないことを決定し、自動認証情報のローテーション、監視機能の強化、5月11日以降のすべてのコミットの監査、GitHubのセキュリティ設定の大幅な強化を実施しました。同社は連邦法執行機関に対し、捜査が継続中であることを通知しました。

5月18日、 Grafana LabsはGitHub環境でのセキュリティインシデントを公表し、顧客データには影響がなく、身代金の支払いを拒否すると発表した。