BlockBeats 消息，5 月 20 日，Grafana Labs 发布安全更新称，公司于 5 月 16 日确认遭遇一起针对性网络攻击，攻击者通过 GitHub 仓库获得未授权访问并下载了其代码库，随后提出勒索要求。

公司表示，该事件起源于一次涉及 TanStack npm 供应链的攻击活动，攻击者在获取初始权限后进一步利用一个被遗漏的 GitHub 工作流令牌，成功进入公司内部仓库环境。

Grafana Labs 强调，目前调查未发现客户生产系统或 Grafana Cloud 平台受到任何影响，事件范围仅限于公司 GitHub 环境，包括源代码及部分内部协作仓库内容，但代码未被篡改。

公司指出，被下载的数据除源代码外，还可能包含内部运营信息及业务联系人姓名和邮箱等，但不涉及生产系统数据。

攻击者随后要求支付赎金以阻止代码泄露，但 Grafana Labs 表示已拒绝支付，并已与执法机构合作展开调查。

目前公司已采取包括轮换自动化令牌、加强监控、审计提交记录及强化 CI/CD 安全在内的一系列安全措施，并表示将发布完整事后报告。