Grafana GitHub 침해, TanStack npm 공격으로 소스 코드 노출

Source: The Hacker News

개요

2026년 5월 19일, Grafana Labs는 최근 침해에 대한 조사가 고객의 프로덕션 시스템이나 운영이 손상된 증거가 없다고 발표했습니다. 이번 사건은 Grafana Labs의 GitHub 환경에만 국한되었으며, 여기에는 공개 및 비공개 소스 코드와 내부 저장소가 포함됩니다.

침해 세부 사항

• 침해는 위협 행위자 그룹 TeamPCP가 주도한 TanStack npm 공급망 공격에서 시작되었습니다. 이 캠페인은 OpenAI와 Mistral AI도 표적으로 삼았으며, Grafana는 2026년 5월 11일에 처음 이를 탐지했습니다.
• 공격자는 GitHub 워크플로 토큰에 접근했으며, 누락된 토큰이 Grafana 저장소에 대한 진입을 가능하게 했습니다.
• 유출된 데이터에는 소스 코드, 내부 운영 정보, 비즈니스 연락처 이름 및 이메일 주소가 포함되었으며, 이는 프로덕션 시스템이나 Grafana Cloud 플랫폼의 데이터가 아니라 전문적인 맥락에서 교환된 정보였습니다.

금전 요구 시도

• 2026년 5월 16일, Grafana는 이름이 밝혀지지 않은 위협 행위자로부터 금전 요구를 받았습니다. 회사는 도난된 데이터가 삭제된다는 보장이 없고 향후 공격을 조장할 위험이 있다는 이유로 몸값을 지불하지 않기로 결정했습니다.
• CoinbaseCartel이라는 데이터‑금전 요구 조직이 2026년 5월 15일 다크웹 사이트에 Grafana Labs를 올렸습니다.

대응 및 완화 조치

Grafana Labs는 즉각적이고 장기적인 여러 조치를 취했습니다:

1. 자동화 토큰을 교체하고 포괄적인 토큰 감사를 수행했습니다.
2. GitHub 활동에 대한 모니터링을 강화했습니다.
3. 악성 코드나 변조 흔적이 있는지 모든 커밋을 감사했습니다.
4. 전반적인 GitHub 보안 태세를 강화했으며, 접근 제어와 워크플로 검토를 보다 엄격히 적용했습니다.

관련 위협 활동

• GitHub은 TeamPCP가 사이버 범죄 포럼에 GitHub의 소스 코드와 내부 조직을 판매 목록에 올린 후, 자체 내부 저장소에 대한 무단 접근에 대한 조사를 발표했습니다.

참고 자료

• Grafana Labs 보안 업데이트 (공식 블로그)
• The Hacker News – Grafana GitHub 토큰 침해
• The Hacker News – TanStack 공급망 공격
• The Hacker News – GitHub의 TeamPCP 조사