Grafana Confirms TanStack npm Supply Chain Attack Led to GitHub Repository Cloning
2026/06/24 gbhackers — Grafana Labs が認めたのは、TanStack の npm エコシステムを標的とする最近のサプライチェーン攻撃により、同社の内部 GitHub リポジトリが複製されたことである。ただし、顧客の本番システムおよび Grafana Cloud プラットフォームへの影響は確認されていない。この公表は、2026年5月27日に完了した徹底的な内部調査と、Mandiant による独立したフォレンジック調査の結果に基づくものである。ただし、これらの調査では、コード改竄/リポジトリ・ポイズニング/公開ソフトウェアへの悪意の変更の証拠は確認されなかった。

このインシデントは、Mini Shai-Hulud キャンペーンによるものとされる。現代の CI/CD パイプラインおよびオープンソース・サプライチェーンにおいて、認証情報の漏洩と悪用に伴うリスクが高まっていることを浮き彫りにしている。
Grafana が TanStack npm サプライチェーン攻撃を確認
5月11日に始まった、この攻撃により、自社ホスト型 GitHub Runner 上での悪意のコード実行と、機密性の高い認証情報の漏洩が引き起こされた。同社は当初、侵害されたと判断したすべての認証情報をローテーションしたが、1 件のトークンが見落とされていたことで、数日後に攻撃者による再アクセス権が生じた。
5月14日までに攻撃者は、この認証情報を悪用して不正な変更をコミットし、大規模なリポジトリ複製を開始した。その後まもなく、データの持ち出しが始まり、5月16日には窃取したコードベースを公開すると脅迫し身代金を要求した。
ランサムウェアの支払いを控えるよう推奨する、法執行機関の指針に従う Grafana Labs は、この恐喝要求に応じないことを選択した。Grafana のコードベースの大部分はオープンソースであるが、流出したデータに含まれるものには、内部ツール/運用データ/業務用メールアドレスなどの非公開リポジトリがあった。
ただし同社は、このデータが本番環境や顧客システムから取得されたものではなく、ユーザー・データへのアクセスや影響も一切なかったことを強調した。
このインシデントへの対応として、Grafana は包括的なインシデント・レスポンス・プロセスを開始した。それにより実施されたのは、すべての GitHub アプリケーションの即時停止/グローバルなコード・フリーズ/インフラ全体における認証情報のローテーションなどである。その他にも、同社のセキュリティ・チームはシステムの完全性を検証し、封じ込めを確認するために GitHub/Vault/Okta/Kubernetes/AWS/GCP 環境を横断する監査を実施した。
また、侵害を確認してから 48時間以内に、すべての不正な変更をロールバックするとともに攻撃チェーン全体を特定しており、是正措置の一環として数千件に及ぶ手動および自動のセキュリティ・レビューも実施された。
さらに、エンジニアリング・チームは、数百の GitHub アプリケーションを監査して過剰な権限を削減し、1,000 を超えるリポジトリをスキャンして侵害の兆候を調査した。それに加えて、重要なリポジトリについては、不正な変更を検出するためにプル・リクエストの徹底的な検証も実施した。
それと同時に、攻撃対象領域を最小化するためレガシー・システムが廃止され、Grafana はより厳格なアクセス制御を導入するとともに、アイデンティティおよびアクセス管理ポリシーに対する広範な監査を開始した。
長期的なセキュリティ改善の一環として、Grafana は token-broker システムを導入した。これにより、有効期間が短く、きめ細かな権限設定を備えた認証情報の利用を強制し、静的シークレットへの依存を低減することが可能になる。さらに、安全なアーティファクト管理ワークフローへと移行し、Docker Hub などの外部レジストリとの直接統合を制限し、Google Cloud Artifact Registry などの管理下にある環境を優先するようにした。
また、追加対策として、アラート機能の強化/静的コード解析/アーカイブ済みまたは非アクティブなリポジトリを分離するための、GitHub 組織のセグメンテーションを実施している。
このインシデントは、サプライチェーン・セキュリティにおける重要な教訓を示している。たった 1件の認証情報の見落としであっても、システムや関連環境に深刻な影響を及ぼす可能性があることを浮き彫りにした。
その一方で Grafana は、顧客への影響を発生させることなく、侵害の封じ込めに成功している。この攻撃が示すのは、高価値な環境へのアクセスの獲得を試みる脅威アクターが、CI/CD パイプラインや開発者向けツールを標的とするケースが増加している現状である。
さらに、Mandiant による独立検証では、コード改竄が行われていなかったことも確認されている。このインシデントは、現代のサプライチェーン脅威に直面した際の効果的なインシデント・レスポンス/透明性の高い情報開示/事後的なセキュリティ強化を示す注目すべき事例となった。
訳者後書:このインシデントの原因は、開発環境である GitHub Runner 上で悪意あるコードが実行され、機密性の高い認証情報が漏えいしたことにあります。さらに、その後のリスクを抑える対応において、侵害された可能性のあるトークンのローテーションを行う際に、 1件のトークンを見落としてしまったことが被害の再発の原因となりました。このように、 CI/CD パイプラインをはじめとする自動化された開発環境では、わずか 1 箇所のシークレット管理の漏れや確認不足があるだけで、攻撃者にアクセス権を悪用され、大規模なリポジトリの複製やデータの持ち出しといった深刻な事態へと直結してしまいます。ご利用のチームは、ご注意ください。よろしければ、Grafana での検索結果も、ご参照ください。
You must be logged in to post a comment.