Grafana Labs rechazó el rescate después de que los piratas informáticos robaran el código fuente ya abierto
Los piratas informáticos eliminan un código base que ya era de código abierto y luego exigen un pago para evitar que se publique. Grafana dijo que no y citó al abogado permanente del FBI. Este es el segundo caso de extorsión de alto perfil en siete días.
La empresa de visualización y monitoreo de código abierto Grafana Labs reveló el lunes que los piratas informáticos irrumpieron en su entorno de desarrollo, extrajeron una copia de su código base y Rescate exigido Para evitar que se publique código.
La compañía dice que no y el código base, según la verdad más incómoda de la historia, ya es de código abierto.
La mecánica es la parte que importa. Grafner La propia declaración de X. confirmó que los atacantes obtuvieron un certificado token robado, que les dio acceso al entorno GitHub de la empresa, que Grafana utiliza para el desarrollo de código.
El token no proporcionaba acceso a los registros de los clientes, a los sistemas de los clientes ni a los datos financieros de las cuentas de la empresa. Desde entonces, el token ha sido invalidado y se han superpuesto controles de seguridad adicionales.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Informes de noticias de piratas informáticos La causa principal fue una acción de GitHub recientemente habilitada que involucraba una mala configuración de 'Pwn Request', donde un flujo de trabajo pull_request_target daba a los contribuyentes externos acceso a los secretos de CI de producción, y la intrusión fue detectada por uno de los tokens canary implementados por Grafana, lo que desencadenó una alerta interna.
Los atacantes han sido identificados. Regístrate y ayuda La cobertura como grupo de lavado de datos autodenominado CoinbaseCartel (activo en la escena del cibercrimen desde septiembre de 2025, rastreando a Halcyon y Fortinet FortiGuard), lo aprovechó como una opción de liberar o pagar.
tRespondió a la empresa, con sus propias palabras: "El atacante intentó chantajearnos exigiendo un pago para no publicar nuestro código base".
Grafana citó el consejo de larga data del FBI de que pagar un rescate no le garantiza a usted ni a su organización la devolución de ningún dato, "dando un incentivo a otros para participar en este tipo de actividad ilegal y, en última instancia, financiando más ataques".
Lo que le da textura al caso es la comparación de siete días. El gigante de la tecnología educativa Instruct, cuya plataforma de gestión del aprendizaje Canvas presta servicios a 275 millones de usuarios en más de 8.800 instituciones, Se ha llegado a un acuerdo con los piratas informáticos. La semana pasada después de haber sido violado dos veces seguidas por el grupo ShinyHunters.
Infraestructura no ha revelado públicamente el monto pagado; Estimaciones artísticas no confirmadas sitúan la cifra en unos 10 millones de dólares. Instructure dijo que había recibido "confirmación digital de destrucción de datos (Shadow Log)" y aseguró a los clientes que no sería extorsionado más tarde.
La reacción de los profesionales de seguridad fue, en su versión cortés, de escepticismo ante esas garantías.
Dos casos se encuentran en los extremos polares del libro de jugadas. Instruir paga porque los datos robados son información personal de los estudiantes y el personal que no se puede deshacer una vez divulgados.
Grafana se negó porque el material robado era un código que cualquiera ya podía descargar del repositorio público de la empresa. La amenaza era, en ese sentido, procesable.
Los atacantes hicieron esta afirmación de todos modos, partiendo del supuesto de que un porcentaje de las víctimas paga independientemente de si existe o no un apalancamiento subyacente.
La lectura estructurada sobre los acontecimientos de la semana pasada es repetitiva. El lado defensivo de la industria del software empresarial se está reconstruyendo en torno al descubrimiento de vulnerabilidades impulsado por la IA: El modelo Mythos de Anthropic encontró miles de fallas de día cero en los principales sistemas operativos y navegadores.Y los reguladores de los bancos centrales han tomado medidas agresivas para monitorear lo que significan los mismos poderes para las empresas dentro del sistema financiero. Informe de la Junta de Estabilidad Financiera sobre sus resultados.
La violación de Grafana no fue un ataque impulsado por IA según la evidencia disponible. Es un exploit de abuso de tokens contra un flujo de trabajo de GitHub, el tipo de intrusión que ha modelado las violaciones de datos durante los últimos seis años. La mecánica no ha cambiado. La lógica de extorsión que les sigue está evolucionando.
Grafana dijo que la investigación está en curso. Y cuando la investigación esté completa publicará sus conclusiones.
La compañía no reveló qué repositorios específicos fueron extraídos, ni nombró al actor de la amenaza en su propia declaración. La lectura estricta es que las directrices de no pago del FBI están siendo consideradas una política por empresas con modelos de negocios suficientemente públicos como para explotar la óptica.
Grafana tiene la inusual ventaja de que su producto es de código abierto por diseño. Los actores de amenazas serán puestos a prueba aún más si la postura de no pagar se extiende a empresas con propiedad intelectual patentada.
