PANews는 5월 20일, 오픈소스 데이터 시각화 도구인 Grafana가 5월 16일 발생한 보안 사고 조사에 대한 업데이트를 발표했다고 보도했습니다. 조사 결과, 해당 사고는 Grafana Labs의 GitHub 환경(공개 및 비공개 소스 코드, 내부 GitHub 저장소 포함)에만 국한되었으며, 고객의 운영 시스템이나 Grafana 클라우드 플랫폼에는 영향을 미치지 않은 것으로 나타났습니다. 다운로드된 콘텐츠에는 소스 코드 외에도 일부 팀에서 협업 및 내부 운영 정보, 비즈니스 세부 정보(담당자 이름 및 이메일 주소 등)를 저장하는 데 사용하는 저장소가 포함되어 있었으며, 운영 시스템이나 클라우드 플랫폼의 데이터는 아니었습니다. Grafana Labs는 코드베이스가 다운로드되었지만 변조되지는 않았으며, 현재 고객과 오픈소스 사용자는 별도의 조치를 취할 필요가 없다고 명확히 밝혔습니다. 이번 사고는 Mini Shai-Hulud 캠페인을 통해 이루어진 TanStack npm 공급망 공격에서 비롯되었습니다. Grafana Labs는 5월 11일 악성 활동을 감지하고 사고 대응에 착수했지만, 자격 증명 관리의 허점으로 공격자가 접근 권한을 획득했습니다. 5월 16일 몸값 요구를 받은 후, 해당 회사는 몸값을 지불하지 않기로 결정하고 자동화된 자격 증명을 변경하고, 모니터링을 강화하고, 5월 11일 이후 모든 커밋을 감사하고, GitHub 보안 구성을 대폭 강화했습니다. 회사는 연방 사법 당국에 수사가 진행 중임을 통보했습니다.

5월 18일, Grafana Labs는 GitHub 환경에서 보안 사고가 발생했다고 발표하면서 고객 데이터는 영향을 받지 않았으며 몸값 요구도 거부했다고 밝혔습니다 .