Une fuite de jeton GitHub chez Grafana a permis le téléchargement de la base de code et une tentative d’extorsion

> Grafana a subi une attaque impliquant le téléchargement de son code source et une tentative de chantage sur des données à la suite d’une fuite de jeton GitHub, mais a refusé de payer une rançon conformément aux directives du FBI.

Traduction intégrale

Grafana a indiqué qu’une « partie non authentifiée » avait accédé à l’environnement GitHub de l’entreprise et obtenu un jeton permettant de télécharger le code source.

Dans une série de publications sur X (ex-Twitter), Grafana a déclaré que « notre enquête interne a confirmé qu’aucune donnée client ni aucune information personnelle n’avaient été consultées pendant cet incident, et nous n’avons trouvé aucun élément indiquant un impact sur les systèmes ou les opérations des clients ».

L’entreprise a également précisé qu’elle avait immédiatement lancé une analyse forensique après la découverte de cette activité et qu’elle avait identifié l’origine de la fuite. Elle a ajouté que les identifiants compromis avaient depuis été invalidés et que des mesures de sécurité supplémentaires avaient été mises en place pour empêcher tout accès non autorisé.

Grafana a en outre indiqué que l’attaquant avait tenté de faire chanter l’entreprise, exigeant un paiement pour empêcher la divulgation de la base de données volée.

Grafana a décidé de ne pas payer la rançon, citant les directives du Federal Bureau of Investigation (FBI) américain. Le FBI avait déjà averti que négocier une rançon avec des criminels ne garantissait pas que l’entreprise victime récupérerait ses données.

Le FBI précise sur son site web que « cela encourage également les criminels à viser davantage de victimes et crée une incitation pour que d’autres s’engagent dans ce type d’activité illégale ».

Grafana n’a pas révélé quand l’incident s’était produit ni depuis quand l’acteur malveillant avait accès à son environnement, indiquant seulement qu’il avait appris l’attaque « récemment ». Cette compromission n’a pas encore été attribuée à un acteur ou à un groupe connu.

Cependant, selon des rapports de Hackmanac et Ransomware.live, un groupe cybercriminel nommé CoinbaseCartel a revendiqué être à l’origine de l’incident.

D’après des détails partagés par Halcyon et Fortinet FortiGuard Labs, CoinbaseCartel est un groupe d’extorsion de données apparu en septembre 2025. Il est considéré comme une émanation de l’écosystème ShinyHunters, Scattered Spider et LAPSUS$.

Contrairement aux groupes de ransomware traditionnels, ce groupe, qui se concentre uniquement sur le vol de données et l’extorsion, a fait 170 victimes dans les secteurs de la santé, de la technologie, du transport, de l’industrie manufacturière et des services aux entreprises.

L’entreprise n’a pas non plus indiqué quel code source avait été téléchargé par les attaquants, mais Grafana propose diverses solutions, dont Grafana Cloud, une plateforme d’observabilité en cloud entièrement managée pour les applications et l’infrastructure. The Hacker News a demandé un commentaire à Grafana et mettra à jour l’article dès réception d’une réponse.

Cet incident survient quelques jours seulement après qu’Instructure, une entreprise américaine d’edtech, a pris la décision controversée de conclure un accord avec le groupe d’extorsion ShinyHunters, après que celui-ci a menacé de divulguer plusieurs téraoctets de données appartenant à des milliers d’écoles et d’universités à travers les États-Unis.