De diefstal van broncode bij softwarebedrijf Grafana Labs was mogelijk door een vergeten GitHub-token dat als gevolg van een supplychain-aanval vervangen had moeten worden. Dat heeft het bedrijf zelf bekendgemaakt. Grafana Labs biedt een opensourceplatform voor datavisualisatie en monitoring. In een bericht op LinkedIn meldde Grafana Labs dat een aanvaller door middel van een gestolen token toegang tot de GitHub-omgeving had gekregen en daarbij allerlei aanwezige code was gestolen.

Op de eigen website is Grafana Labs nu met meer informatie gekomen. Volgens het bedrijf is de aanval het gevolg van de TanStack supplychain-aanval die eerder deze maand plaatsvond. TanStack biedt tal van libraries die ontwikkelaars gebruiken voor het ontwikkelen van webapplicaties. De packages van TanStack tellen tientallen miljoenen installaties. Aanvallers wisten onlangs tientallen besmette packages van TanStack te publiceren. Deze packages waren voorzien van malware die op het systeem van de getroffen ontwikkelaar tokens, credentials en andere inloggegevens steelt. Daarnaast probeert de malware softwareprojecten van de getroffen ontwikkelaar te infecteren.

Grafana Labs zegt dat het op 11 mei als gevolg van deze aanval malafide activiteit in de eigen ontwikkelomgeving detecteerde en daarop actie ondernam. Zo werd een groot aantal GitHub workflow tokens vervangen. Een token dat over het hoofd werd gezien zorgde ervoor dat de aanvallers toegang tot de GitHub-repositories van Grafana konden krijgen. Verder onderzoek wees uit dat een specifieke Github workflow waarvan in eerste instantie werd gedacht dat die niet was getroffen, toch gecompromitteerd was. Afsluitend stelt het bedrijf dat het maatregelen neemt om de CI/CD (continuous integration and continuous deployment) pipelines verder te beveiligen en soortgelijke incidenten in de toekomst te voorkomen.