أكدت الشركة حدوث الاختراق بعد تنبيه أحد الرموز الفخية التي تم نشرها في آلاف المواقع، مما أثار إنذار فريق الأمن العالمي. وجاء في تغريدة رسمية نشرتها الشركة: «اكتشفنا مؤخرًا أن طرفًا غير مصرح له حصل على رمز مميز يمنحه وصولاً إلى بيئة GitHub الخاصة بـ Grafana Labs، مما سمح للقرصان بتنزيل كود المصدر الخاص بنا».
الأسباب الجذرية للاختراق
تم تتبع سبب الاختراق إلى إعداد خاطئ في أحد إجراءات GitHub التي تحتوي على ثغرة تسمى «Pwn Request». تمثلت الثغرة في إعداد خاطئ في سير عمل تم تنشيطه عند أحداث pull_request_target، مما منح المساهمين الخارجيين وصولاً إلى الأسرار الإنتاجية أثناء تشغيل عمليات التكامل المستمر (CI).
الطريقة المنهجية للقرصان
أظهر القرصان نهجًا مدروسًا ومنهجيًا. من خلال تفرع مستودع Grafana وحقن كود خبيث عبر أمر curl، ثم تصدير متغيرات البيئة إلى ملف مشفر بمفتاح خاص، تمكن القرصان من استخراج الرموز المميزة ذات الامتيازات. بعد ذلك، حذف القرصان تفرعه لتغطية آثاره قبل استخدام بيانات الاعتماد المسروقة لمهاجمة أربعة مستودعات خاصة إضافية.
محاولة الابتزاز ورد Grafana Labs
بعد تنزيل كود المصدر الخاص بـ Grafana، تحول القرصان إلى ابتزاز الشركة، مطالبًا بدفع فدية مقابل عدم نشر الكود المسروق. رفضت Grafana Labs هذا الطلب، مشيرة إلى إرشادات مكتب التحقيقات الفيدرالي (FBI) التي تؤكد أن «دفع الفدية لا يضمن استعادة البيانات، بل يشجع الآخرين على المشاركة في هذه الأنشطة غير القانونية».
أكدت الشركة في بيانها أن التحقيقات لم تجد أي دليل على وصول القرصان إلى بيانات العملاء أو معلومات شخصية، كما لم يتم رصد أي تأثير على أنظمة أو عمليات العملاء.
الاستجابة الفورية لاحتواء الاختراق
تحرك فريق أمن Grafana بسرعة لاحتواء الاختراق. تم إلغاء صلاحيات البيانات الاعتماد المسروقة فورًا، وإزالة إجراء GitHub الضعيف، وتعطيل جميع السير العمل عبر المستودعات العامة. أثار الحادث مناقشات مجتمعية حول أمان خطوط أنابيب CI/CD ومخاطر سلسلة التوريد البرمجية.
ردود الفعل المتنوعة على الحادث
جاءت ردود الفعل على الحادث متباينة عبر الإنترنت. أشاد العديد من المهتمين بشفافية Grafana السريعة في الإعلان عن الحادث، بينما علق آخرون بسخرية على المفارقة المتمثلة في شركة متخصصة في مراقبة الأنظمة تفشل في اكتشاف الاختراق في بنيتها التحتية الخاصة.
الخطوات المستقبلية والشفافية
أكدت Grafana Labs أنها ستشارك النتائج الإضافية من مراجعة ما بعد الحادث بمجرد اكتمال التحقيقات، مما يعزز التزامها بالشفافية مع مجتمع المطورين ومجتمعات الأمن.
