Grafana Labs отказывается от выкупа после того, как хакеры украли уже открытый исходный код

      Хакеры эксфильтровали кодовую базу, которая уже была открытым исходным кодом, а затем потребовали оплату, чтобы предотвратить ее публикацию. Grafana сказала "нет" и сослалась на давний совет ФБР. Это второй громкий случай вымогательства за семь дней.

      Компания Grafana Labs, занимающаяся мониторингом и визуализацией с открытым исходным кодом, сообщила в понедельник, что хакеры проникли в ее среду разработки, эксфильтровали копию ее кодовой базы и потребовали выкуп, чтобы предотвратить публикацию кода.

      Компания отказалась, и кодовая база, что является самым неловким фактом в этой истории, уже является открытым исходным кодом.

      Механика — это то, что имеет значение. В собственном заявлении Grafana на X подтвердилось, что злоумышленники получили украденный токен-учетные данные, который дал им доступ к среде GitHub компании, которую Grafana использует для разработки кода.

      Токен, по словам компании, не предоставлял доступ к записям клиентов, системам клиентов или финансовым данным. Токен с тех пор был аннулирован, и дополнительные меры безопасности были добавлены.

      Hacker News сообщает, что коренной причиной стало недавно включенное действие GitHub, содержащее неправильную конфигурацию «Pwn Request», в которой рабочий процесс pull_request_target предоставил внешним участникам доступ к секретам производственной CI, и что вторжение было зафиксировано одним из развернутых токенов-канареек Grafana, что вызвало внутреннее предупреждение.

      Злоумышленники, идентифицированные в материалах Register и HelpNet как группа вымогателей данных, называющая себя CoinbaseCartel (активная на киберпреступной сцене с сентября 2025 года, отслеживаемая Halcyon и Fortinet FortiGuard), представили рычаг как выбор между публикацией и оплатой.

      Ответ компании, собственными словами: «Злоумышленник попытался нас шантажировать, требуя оплату, чтобы предотвратить публикацию нашей кодовой базы».

      Grafana сослалась на давний совет ФБР о том, что уплата выкупов не гарантирует, что вы или ваша организация получите какие-либо данные обратно, «предлагает стимул для других участвовать в этом типе незаконной деятельности и в конечном итоге финансирует дальнейшие атаки».

      Что придает делу его контекст, так это сравнение за семь дней. Гигант в области образовательных технологий Instructure, чья платформа управления обучением Canvas обслуживает 275 миллионов пользователей более чем в 8800 учреждениях, достиг соглашения с хакерами на прошлой неделе после того, как дважды подряд был взломан группой ShinyHunters.

      Instructure не раскрыла публично сумму, выплаченную; неподтвержденные отраслевые оценки ставят эту цифру на уровне около 10 миллионов долларов. Instructure заявила, что получила «цифровое подтверждение уничтожения данных (журналов уничтожения)» и гарантии, что клиенты не будут впоследствии шантажироваться.

      Реакция со стороны специалистов по безопасности была, в вежливой версии, скептической к этим гарантиям.

      Эти два случая находятся на полярных концах плейбука. Instructure заплатила, потому что украденные данные были личной информацией студентов и сотрудников, которую нельзя было отменить после публикации.

      Grafana отказалась, потому что украденный материал был кодом, который любой мог уже скачать из публичных репозиториев компании. Угроза была, в этом смысле, перформативной.

      Тем не менее, злоумышленники сделали требование, исходя из предположения, что некоторый процент жертв платит независимо от того, существует ли подлежащий рычаг.

      Структурное прочтение прошлой недели инцидентов — это повторяющееся. Оборонительная сторона индустрии программного обеспечения для предприятий переориентируется на обнаружение уязвимостей, управляемое ИИ: модель Mythos компании Anthropic находит тысячи нулевых уязвимостей в основных операционных системах и браузерах, а регуляторы центральных банков активно следят за тем, что означают те же возможности внутри финансовой системы, при этом компания информирует Финансовый совет по стабильности о своих выводах.

      Взлом Grafana не был атакой, управляемой ИИ, судя по имеющимся данным. Это была эксплуатация неправильного использования токена против рабочего процесса GitHub, тот тип вторжения, который был модальным утечкой данных на протяжении последних шести лет. Механика осталась неизменной. Логика вымогательства, которая следует за ними, эволюционирует.

      Grafana заявила, что ее расследование продолжается, и она опубликует свои выводы, как только расследование будет завершено.

      Компания не раскрыла, какие конкретные репозитории были эксфильтрованы, не назвала злоумышленника в своем собственном заявлении. Более узкий урок заключается в том, что совет ФБР о неуплате наконец начинает восприниматься как политика компаниями с достаточно публичными бизнес-моделями, чтобы поглотить оптику.

      У Grafana есть необычное преимущество в том, что ее продукт по замыслу является открытым исходным кодом. Если позиция о неуплате распространится на компании с собственностью интеллектуальной собственности, это будет следующим испытанием, которое установят злоумышленники.