Lalai Rotasi Satu Token Setelah Serangan TanStack, Hacker TeamPCP Bobol Repositori Internal Grafana

Penyedia platform analisis dan visualisasi data ternama, Grafana Labs, secara resmi mengungkap akar masalah di balik insiden kebocoran data (data breach) yang menimpa jaringan mereka baru-baru ini. Perusahaan mengonfirmasi bahwa peretasan tersebut disebabkan oleh kelalaian melewatkan rotasi satu buah token GitHub workflow saat melakukan prosedur sterilisasi pasca-serangan rantai pasok (supply chain attack) pada ekosistem paket npm TanStack minggu lalu.

Insiden ini merupakan bagian dari kampanye malware “Shai-Hulud” skala masif yang dilancarkan oleh kelompok kriminal siber TeamPCP (geng peretas yang hari ini juga dikonfirmasi sukses membobol 3.800 repositori internal GitHub via ekstensi VS Code palsu).

Kronologi Serangan: Eksfiltrasi Token via CI/CD Pipeline

Serangan bermula ketika TeamPCP menyusupkan skrip beracun pencuri kredensial (credential-stealing code) ke dalam puluhan paket repositori publik npm milik TanStack.

Kronologi infeksi pada lingkungan pengembangan Grafana berjalan melalui tahapan berikut:

1. Konsumsi Paket Beracun: Saat paket npm TanStack yang terinfeksi dirilis ke publik, pipa integrasi dan pengiriman otomatis (CI/CD workflow) milik Grafana secara tidak sengaja mengonsumsi dan mengunduh paket tersebut.
2. Eksekusi Info-Stealer: Modul malware pencuri data (info-stealer) di dalam paket langsung mengeksekusi dirinya sendiri di dalam lingkungan kerja GitHub virtual milik Grafana.
3. Pencurian Token: Malware sukses memanen dan mengeksfiltrasi deretan token otorisasi GitHub workflow berharga langsung ke server milik penyerang.

Grafana mendeteksi aktivitas mencurigakan ini pada 1 Mei dan langsung mengaktifkan rencana respons insiden darurat untuk merotasi massal seluruh token GitHub mereka. Namun sialnya, ada satu token spesifik yang terlewat dalam proses pembersihan tersebut karena awalnya dinilai oleh tim internal tidak ikut terdampak oleh serangan hulu TanStack. Token yang tersisa inilah yang kemudian dimanfaatkan oleh TeamPCP untuk melenggang masuk ke dalam jaringan repositori privat perusahaan.

Dampak Kebocoran: Data Operasional Bisnis Ikut Terunduh

Melalui laporan investigasi lanjutan, Grafana Labs membagikan rincian kompromi data aset internal mereka:

• Pencurian Kode Sumber: Peretas dipastikan berhasil mengunduh sebagian kode sumber (source code) internal Grafana. Pihak perusahaan menegaskan bahwa mereka menolak keras untuk membayar uang tebusan (ransom payment) kepada TeamPCP.
• Kebocoran Data Operasional & Kontak Bisnis: Penyerang juga kedapatan mengunduh berkas informasi operasional harian perusahaan. Berkas ini mencakup nama kontak bisnis dan alamat surel (email) mitra profesional yang beraliansi dengan Grafana.

🛡️ Pernyataan Grafana Terkait Keamanan Pelanggan: “Data yang bocor ini murni merupakan informasi kontak bisnis profesional, bukan data sensitif yang ditarik dari sistem produksi atau platform Grafana Cloud. Berdasarkan bukti investigasi sejauh ini, tidak ada satu pun sistem produksi maupun data operasional pelanggan yang ikut kompromi.”

Kode Sumber Dipastikan Aman, Pengguna Tidak Perlu Panik

Grafana Labs memberikan jaminan keamanan kepada jutaan penggunanya di seluruh dunia bahwa kelompok peretas tidak melakukan modifikasi kode apa pun (codebase was not modified) selama masa penyusupan di dalam repositori GitHub mereka.

Dengan demikian, seluruh aplikasi dan pembaruan kode Grafana yang diunduh oleh pengguna sepanjang rentang peristiwa ini dipastikan sepenuhnya aman (safe). Para administrator sistem dan pengguna layanan Grafana tidak perlu melakukan tindakan mitigasi darurat apa pun pada instans lokal mereka. Grafana berjanji akan langsung menghubungi konsumen secara personal jika ditemukan bukti atau temuan forensik baru di kemudian hari.