Grafana Labs hat am 16. Mai 2026 eingeräumt, dass eine unbefugte Partei ein Token erlangt hat, das Zugriff auf die GitHub-Umgebung des Unternehmens gewährte, und damit die Codebasis herunterladen konnte. Ein Canary-Token, einer von tausenden, die Grafana im Einsatz hat, wurde ausgelöst und alarmierte das globale Sicherheitsteam.
Der Vorfall traf nicht irgendeinen Randbereich der Infrastruktur, sondern den Ort, an dem Software gebaut und abgesichert wird. Nach Angaben des Unternehmens führte die Spur zu einem kürzlich aktivierten GitHub Action mit einer sogenannten Pwn-Request-Schwachstelle. Der fehlerhaft konfigurierte Workflow lief auf pull_request_target-Ereignissen und gab externen Beiträgern während der CI-Ausführung Zugriff auf Produktionsgeheimnisse.
Grafana beschrieb anschließend, wie der Angreifer ein Repository forkte, bösartigen Code per curl-Befehl einschleuste und Umgebungsvariablen in eine Datei schrieb, die mit einem privaten Schlüssel verschlüsselt wurde. Das Fork wurde danach gelöscht, bevor die kompromittierten Zugangsdaten genutzt wurden, um denselben Angriff gegen vier weitere private Repositories zu wiederholen. Nachdem die private Codebasis heruntergeladen worden war, forderte der Täter Geld, um die Veröffentlichung des gestohlenen Codes zu unterlassen.
Grafana lehnte diese Forderung ab. Das Unternehmen sagte zugleich, dass keine Kundendaten und keine personenbezogenen Informationen zugegriffen worden seien und es keine Hinweise auf Auswirkungen auf Kundensysteme oder den laufenden Betrieb gebe. Das ist die zentrale Entlastung in einem Fall, der dennoch zeigt, wie weit ein einzelner Fehlgriff in einer Entwicklungsumgebung reichen kann, wenn er auf Produktionsgeheimnisse trifft.
Die Sicherheitsmannschaft invalidierte die kompromittierten Zugangsdaten sofort, entfernte das anfällige GitHub Action und deaktivierte alle Workflows in öffentlichen Repositories. Der Kern des Vorfalls bleibt damit nicht die Erpressung selbst, sondern die Kette davor: ein aktivierter Workflow, ein unbefugter Zugriff, ein ausgelöster Canary-Token und eine Ausweitung auf mehrere private Projekte. Grafana sagte, weitere Erkenntnisse aus der Nachbereitung werde man veröffentlichen, sobald die Untersuchungen abgeschlossen seien.
