ผู้โจมตีได้เข้าถึง GitHub ของ Grafana Labs โดยทำการขโมยโทเค็นที่มีสิทธิ์ระดับสูงเพื่อดาวน์โหลด Codebase ส่วนตัวของบริษัท จากนั้นพยายามเรียกค่าไถ่จาก Grafana แต่ไม่ได้รับการตอบสนอง
Grafana Labs เปิดเผยเมื่อวันที่ 16 พฤษภาคม 2026 ว่ามีบุคคลที่ไม่ได้รับอนุญาตได้รับโทเค็นที่ให้สิทธิ์ในการเข้าถึง GitHub ของบริษัท ซึ่งส่งผลให้ผู้โจมตีสามารถดาวน์โหลด Codebase ของบริษัทไปได้
Grafana Labs ถูกโจมตี
บริษัทได้ยืนยันการถูกโจมตีหลังจากที่หนึ่งใน Canary Token หลายพันรายการที่ติดตั้งไว้ถูกเรียกใช้งาน ซึ่งส่งสัญญาณแจ้งเตือนไปยังทีมรักษาความปลอดภัยในทันที
จากการตรวจสอบพบว่า สาเหตุหลักมาจากฟีเจอร์ GitHub Action ที่เพิ่งเปิดใช้งานซึ่งมีช่องโหว่ประเภท “Pwn Request” โดยเกิดจากการตั้งค่า workflow ที่ผิดพลาด และการตั้งค่าที่ไม่ถูกต้องในเวิร์กโฟลว์ที่ถูกเรียกใช้งานเมื่อเกิดเหตุการณ์ pull_request_target ซึ่งทำให้ contributors จากภายนอกสามารถเข้าถึงข้อมูล secret ในระบบ production ระหว่างการทำงานของ CI ได้
วิธีการของผู้โจมตีนั้นมีการวางแผนมาอย่างรอบคอบ และเป็นระบบ โดยเริ่มจากการ forking repository ของ Grafana จากนั้นได้ทำการแทรกโค้ดอันตรายผ่านคำสั่ง curl และดัมพ์ข้อมูล environment variables ลงในไฟล์ที่ถูก encrypted ด้วย private key ทำให้ผู้โจมตีสามารถดึงเอาโทเค็นที่มีสิทธิ์ระดับสูงออกมาได้สำเร็จ
จากนั้นผู้โจมตีได้ลบสำเนาที่ fork มาเพื่อปกปิดร่องรอย ก่อนที่จะใช้ข้อมูล Credentials ที่ขโมยมาเพื่อทำการโจมตีซ้ำกับ private repositories อีก 4 แห่ง
หลังจากดาวน์โหลด codebase ส่วนตัวของ Grafana แล้ว ผู้โจมตีได้ยกระดับการบุกรุกเป็นการขู่กรรโชก โดยเรียกค่าไถ่เพื่อแลกกับการไม่นำโค้ดดังกล่าวไปเผยแพร่ต่อสาธารณะ ซึ่งทาง Grafana Labs ได้ปฏิเสธข้อเรียกร้องนั้น
บริษัทได้อ้างอิงถึงแนวทางปฏิบัติของ FBI ที่ระบุว่า “การจ่ายเงินค่าไถ่ไม่ได้เป็นหลักประกันว่าองค์กรจะได้ข้อมูลกลับคืนมา และเป็นเพียงการสร้างแรงจูงใจให้ผู้อื่นเข้ามาก่ออาชญากรรมในลักษณะนี้มากขึ้น ทางบริษัทจึงพิจารณาแล้วว่าการไม่จ่ายค่าไถ่คือแนวทางที่เหมาะสมที่สุด"
บริษัทได้ชี้แจงผลการตรวจสอบว่า ไม่มีข้อมูลของลูกค้าหรือข้อมูลส่วนบุคคลใด ๆ ถูกเข้าถึงในระหว่างเกิดเหตุการณ์นี้ และไม่พบหลักฐานว่ามีผลกระทบต่อระบบ หรือการดำเนินงานของลูกค้าแต่อย่างใด
ทีมรักษาความปลอดภัยของ Grafana ได้ดำเนินการอย่างเร่งด่วนเพื่อความคุมเหตุการณ์ที่เกิดขึ้น ข้อมูล Credentials ที่ถูกเข้าถึงได้ถูกยกเลิกทันที, ลบ GitHub Action ที่มีช่องโหว่ออก และ Workflow ทั้งหมดใน public repositories ถูกปิดใช้งาน
เหตุการณ์ดังกล่าวได้จุดประกายให้ชุมชนนักพัฒนากลับมาตื่นตัว และถกเถียงกันอีกครั้งในประเด็นความปลอดภัยของ CI/CD pipeline รวมถึงความเสี่ยงที่แฝงอยู่ใน Software supply chain
นักวิจัยด้านความปลอดภัยได้ตั้งข้อสังเกตว่า ช่องทางการโจมตีในครั้งนี้ เกิดจากการตั้งค่า Workflow pull_request_target ที่ผิดพลาด ถือเป็นช่องโหว่ในระบบของ open-source ที่คนส่วนใหญ่มักจะมองข้าม และประเมินความเสี่ยงต่ำกว่าความเป็นจริงมาโดยตลอด
เหตุการณ์ละเมิดความปลอดภัยครั้งนี้ได้รับเสียงตอบรับในหลากหลายแง่มุมบนโลกออนไลน์ หลายฝ่ายได้กล่าวชื่นชม Grafana ที่แสดงความโปร่งใส และออกมาชี้แจงอย่างรวดเร็ว ในขณะที่บางส่วนตั้งข้อสังเกตถึงความย้อนแย้งของบริษัทที่เน้นด้านการตรวจสอบความปลอดภัยกลับพลาดการแจ้งเตือนเกี่ยวกับโครงสร้างพื้นฐานของตนเอง
Grafana Labs ยืนยันว่าจะเปิดเผยข้อมูลเพิ่มเติมที่พบจากการตรวจสอบหลังเกิดเหตุทันทีที่กระบวนการสืบสวนเสร็จสิ้นสมบูรณ์ เพื่อตอกย้ำถึงจุดยืนที่มุ่งมั่นในการรักษาความโปร่งใสต่อชุมชนนักพัฒนา และผู้เชี่ยวชาญด้านความปลอดภัย
ที่มา : cybersecuritynews
You must be logged in to post a comment.