B
今週中
Grafana LabsのGitHub環境が侵害され、公開および非公開のソースコード、内部リポジトリが流出したこと
📌 一言でいうと
Grafana LabsのGitHub環境が侵害され、公開および非公開のソースコード、内部リポジトリが流出したことが判明しました。この侵害は、TeamPCPによるTanStack npmサプライチェーン攻撃に起因しており、OpenAIやMistral AIも同様の攻撃を受けています。顧客の本番システムや運用への影響は確認されていませんが、ビジネス連絡先などの内部情報が流出したとしています。
🔍該当判定
- 自社で『Grafana』をインストールして運用している
- 自社で『Grafana Cloud』のクラウドサービスを利用している
- 開発チームが『TanStack』関連のnpmパッケージをプロジェクトで使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
npmパッケージの依存関係を再確認し、不審なバージョンへの更新がないか検証すること。また、サプライチェーン攻撃への対策として、ロックファイルの利用やパッケージの整合性チェックを徹底することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】TanStack npm サプライチェーン攻撃による Grafana 等への影響について
お疲れさまです。TanStack npm パッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃グループ「TeamPCP」による npm パッケージの侵害を通じて、Grafana Labs の GitHub 環境(ソースコードおよび内部リポジトリ)が侵害されました。同様の攻撃により OpenAI や Mistral AI も影響を受けたことが報告されています。
■ 影響範囲
- TanStack 関連の npm パッケージを利用している開発環境およびプロジェクト
- Grafana Labs の内部ソースコードおよびビジネス連絡先情報
■ 対応手順
1. プロジェクトで使用している npm パッケージの依存関係ツリーを確認し、不審なバージョンや未知のパッケージが含まれていないか検証してください。
2. パッケージの整合性を確認するため、npm audit 等のツールを実行してください。
3. 開発環境におけるシークレット(APIキー等)の漏洩がないか確認し、必要に応じてローテーションを実施してください。
■ 参考情報
- Grafana Labs 公式発表
対応優先度: 中
対応期限: 今週中
お疲れさまです。TanStack npm パッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃グループ「TeamPCP」による npm パッケージの侵害を通じて、Grafana Labs の GitHub 環境(ソースコードおよび内部リポジトリ)が侵害されました。同様の攻撃により OpenAI や Mistral AI も影響を受けたことが報告されています。
■ 影響範囲
- TanStack 関連の npm パッケージを利用している開発環境およびプロジェクト
- Grafana Labs の内部ソースコードおよびビジネス連絡先情報
■ 対応手順
1. プロジェクトで使用している npm パッケージの依存関係ツリーを確認し、不審なバージョンや未知のパッケージが含まれていないか検証してください。
2. パッケージの整合性を確認するため、npm audit 等のツールを実行してください。
3. 開発環境におけるシークレット(APIキー等)の漏洩がないか確認し、必要に応じてローテーションを実施してください。
■ 参考情報
- Grafana Labs 公式発表
対応優先度: 中
対応期限: 今週中
Subject: [Security Alert] TanStack npm Supply Chain Attack affecting Grafana and others
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting TanStack npm packages.
■ Overview
Threat actor "TeamPCP" has orchestrated a supply chain attack via npm packages, leading to the compromise of Grafana Labs' GitHub environment, including source code and internal repositories. Similar attacks have also targeted OpenAI and Mistral AI.
■ Scope of Impact
- Development environments and projects utilizing TanStack-related npm packages.
- Grafana Labs' internal source code and business contact information.
■ Recommended Actions
1. Review the dependency trees of your projects to ensure no suspicious or unauthorized versions of npm packages are present.
2. Run security auditing tools such as 'npm audit' to verify package integrity.
3. Check for any leaked secrets (API keys, tokens) in development environments and rotate them if necessary.
■ Reference
- Grafana Labs Official Advisory
Priority: Medium
Deadline: End of this week
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting TanStack npm packages.
■ Overview
Threat actor "TeamPCP" has orchestrated a supply chain attack via npm packages, leading to the compromise of Grafana Labs' GitHub environment, including source code and internal repositories. Similar attacks have also targeted OpenAI and Mistral AI.
■ Scope of Impact
- Development environments and projects utilizing TanStack-related npm packages.
- Grafana Labs' internal source code and business contact information.
■ Recommended Actions
1. Review the dependency trees of your projects to ensure no suspicious or unauthorized versions of npm packages are present.
2. Run security auditing tools such as 'npm audit' to verify package integrity.
3. Check for any leaked secrets (API keys, tokens) in development environments and rotate them if necessary.
■ Reference
- Grafana Labs Official Advisory
Priority: Medium
Deadline: End of this week