เหตุการณ์ข้อมูลของ Grafana รั่วไหล มีสาเหตุมาจาก Workflow token บน GitHub เพียงตัวเดียวที่หลุดรอดไปจากกระบวนการ rotate โทเค็นภายหลังเกิดเหตุโจมตี Supply-chain attack ของแพ็กเกจ TanStack บน npm เมื่อสัปดาห์ที่ผ่านมา
ในแคมเปญมัลแวร์ "Shai-Hulud" ที่กำลังแพร่ระบาดอย่างต่อเนื่อง ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มแฮ็กเกอร์ TeamPCP แพ็กเกจ TanStack หลายสิบรายการที่ถูกฝังโค้ดขโมยข้อมูล Credential ได้ถูกนำไปเผยแพร่ลงบน npm index ส่งผลให้สภาพแวดล้อมการทำงานของนักพัฒนาหลายแห่งถูกโจมตี ซึ่งรวมถึงระบบของ Grafana ด้วยเช่นกัน
เมื่อแพ็กเกจ npm อันตรายดังกล่าวถูกเผยแพร่ออกมา ระบบ CI/CD workflow ของ Grafana ได้ทำการดึงแพ็กเกจดังกล่าวเข้าไปใช้งาน ส่งผลให้ Info-stealer module เริ่มเรียกใช้คำสั่งทำงานภายในสภาพแวดล้อม GitHub และทำการลักลอบส่งข้อมูล workflow tokens ของ GitHub ออกไปให้กับผู้โจมตี
บริษัทชี้แจงว่า ได้ตรวจพบความเคลื่อนไหวที่ผิดปกติอันเป็นผลมาจากแพ็กเกจ TanStack ที่ถูกบุกรุกเมื่อวันที่ 1 พฤษภาคม และได้เริ่มดำเนินแผนรับมือเหตุการณ์ฉุกเฉินในทันที ซึ่งรวมถึงการ rotate workflow tokens ของ GitHub
อย่างไรก็ตาม มีโทเค็นหนึ่งรายการที่ตกหล่นไปจากกระบวนการดังกล่าว และผู้โจมตีได้นำไปใช้เพื่อเข้าถึง private repositories ของบริษัท
ประกาศอัปเดตสถานการณ์ของ Grafana ระบุว่า "เราได้ทำการวิเคราะห์ และเร่ง rotate workflow tokens ของ GitHub จำนวนมากอย่างรวดเร็ว แต่โทเค็นที่ตกหล่นไปเพียงรายการเดียวได้เปิดทางให้ผู้โจมตีสามารถเข้าถึง GitHub repositories ของเราได้"
"การตรวจสอบในภายหลังยืนยันว่า มี workflow ของ GitHub ตัวหนึ่งที่ประเมินในตอนแรกว่าไม่ได้รับผลกระทบ แท้จริงแล้วกลับถูกโจมตี"
ก่อนหน้านี้ บริษัทได้ยืนยันว่าผู้โจมตีได้ลักลอบขโมย Source code ไปจริง พร้อมทั้งให้การรับรองว่าจะไม่มีผลกระทบต่อลูกค้า และจะไม่มีการจ่ายเงินค่าไถ่ให้กับกลุ่มแฮ็กเกอร์
จากการสืบสวนที่ดำเนินมาอย่างต่อเนื่องพบว่า ผู้บุกรุกยังได้ดาวน์โหลดข้อมูลเกี่ยวกับการดำเนินงาน และรายละเอียดต่าง ๆ ที่ Grafana ใช้ในการประกอบธุรกิจไปอีกด้วย
Grafana ระบุว่า "ข้อมูลดังกล่าวครอบคลุมถึงรายชื่อผู้ติดต่อทางธุรกิจ และที่อยู่อีเมล ซึ่งเป็นข้อมูลที่ใช้ติดต่อสื่อสารในบริบทการทำงานระดับองค์กร ไม่ใช่ข้อมูลที่ถูกดึงมา หรือประมวลผลผ่านการใช้งานระบบจริง หรือแพลตฟอร์ม Grafana Cloud แต่อย่างใด"
บริษัทย้ำว่าข้อมูลส่วนนี้ไม่ใช่ข้อมูลในระบบจริงของลูกค้า และจากหลักฐานผลการสืบสวนล่าสุด ไม่พบว่าระบบการทำงาน หรือการดำเนินงานของลูกค้าถูกแทรกแซงแต่อย่างใด
นอกจากนี้ Grafana Labs ยังระบุด้วยว่า ไม่มีการปรับเปลี่ยนหรือแก้ไข Codebase ในระหว่างเกิดเหตุการณ์ ดังนั้น โค้ดที่ผู้ใช้งานดาวน์โหลดไปในช่วงเวลาดังกล่าวจึงถือว่าปลอดภัย และผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม
หากผลการประเมินมีการเปลี่ยนแปลงอันเนื่องมาจากหลักฐานใหม่ที่พบจากการสืบสวนที่กำลังดำเนินอยู่ ทาง Grafana Labs ให้คำมั่นว่าจะแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบโดยตรง
ที่มา : Bleepingcomputer
You must be logged in to post a comment.