Rò rỉ token GitHub của Grafana dẫn đến việc tải xuống codebase và âm mưu tống tiền

Tóm tắt một dòng

> Grafana cho biết đã hứng chịu một cuộc tấn công tải xuống mã nguồn và tống tiền dữ liệu do rò rỉ token GitHub, nhưng đã từ chối trả tiền chuộc theo hướng dẫn của FBI.

Bản dịch đầy đủ

Grafana cho biết một "bên không được ủy quyền" đã truy cập vào môi trường GitHub của công ty và lấy được một token có thể dùng để tải xuống mã nguồn.

Trong một loạt bài đăng trên X (trước đây là Twitter), Grafana nói rằng "kết quả điều tra nội bộ xác nhận không có dữ liệu khách hàng hay thông tin cá nhân nào bị truy cập trong sự cố này, và cũng không tìm thấy bằng chứng nào cho thấy hệ thống hoặc hoạt động của khách hàng bị ảnh hưởng."

Công ty cũng cho biết đã bắt đầu phân tích pháp chứng ngay khi phát hiện hoạt động này và đã xác định được nguồn gốc của vụ rò rỉ. Đồng thời, các thông tin xác thực bị xâm phạm sau đó đã bị vô hiệu hóa, và các biện pháp bảo mật bổ sung đã được triển khai để ngăn chặn truy cập trái phép.

Grafana cũng cho biết kẻ tấn công đã blackmail và đe dọa công ty, yêu cầu trả tiền nếu muốn ngăn cơ sở dữ liệu bị đánh cắp bị công khai.

Grafana quyết định không trả tiền chuộc, viện dẫn hướng dẫn từ Cục Điều tra Liên bang Mỹ (FBI). FBI trước đây đã cảnh báo rằng việc thương lượng tiền chuộc với tội phạm không đảm bảo doanh nghiệp nạn nhân sẽ lấy lại được dữ liệu.

Trên trang web của mình, FBI nêu rõ rằng "điều này cũng khuyến khích tội phạm nhắm mục tiêu thêm nhiều nạn nhân, đồng thời tạo động lực để những kẻ khác tham gia vào loại hoạt động bất hợp pháp này."

Grafana không tiết lộ sự cố xảy ra khi nào hoặc tác nhân đe dọa đã truy cập vào môi trường của họ từ thời điểm nào, chỉ cho biết họ mới phát hiện vụ tấn công "gần đây". Vụ xâm nhập này hiện vẫn chưa được quy cho bất kỳ tác nhân hay nhóm đe dọa nào đã được biết đến.

Tuy nhiên, theo các báo cáo từ Hackmanac và Ransomware.live, một nhóm tội phạm mạng có tên CoinbaseCartel đã đứng ra nhận là bên đứng sau vụ việc.

Theo các chi tiết được Halcyon và Fortinet FortiGuard Labs chia sẻ, CoinbaseCartel là một tổ chức tống tiền dữ liệu xuất hiện vào tháng 9 năm 2025. Nhóm này được đánh giá là một nhánh phát sinh từ hệ sinh thái ShinyHunters, Scattered Spider và LAPSUS$.

Không giống các nhóm ransomware truyền thống, nhóm này chỉ tập trung vào đánh cắp dữ liệu và tống tiền, và đã tạo ra 170 nạn nhân trong các lĩnh vực y tế, công nghệ, vận tải, sản xuất và dịch vụ doanh nghiệp.

Công ty không tiết lộ kẻ tấn công đã tải xuống phần mã nguồn nào, nhưng Grafana hiện cung cấp nhiều giải pháp khác nhau như Grafana Cloud, một nền tảng quan sát được lưu trữ đám mây được quản lý toàn phần dành cho ứng dụng và hạ tầng. The Hacker News đã liên hệ Grafana để đề nghị bình luận và sẽ cập nhật khi nhận được phản hồi.

Sự việc này xảy ra chỉ vài ngày sau khi công ty công nghệ giáo dục Mỹ Instructure đưa ra quyết định gây tranh cãi là dàn xếp với nhóm tống tiền ShinyHunters, sau khi nhóm này đe dọa làm rò rỉ hàng terabyte dữ liệu thuộc về hàng nghìn trường học và đại học trên khắp nước Mỹ.