Bagaimana Serangan TanStack Berujung pada Kebocoran GitHub Grafana

Melalui kompromi pipeline CI/CD proyek TanStack, pelaku berhasil menerbitkan puluhan versi paket berbahaya dalam namespace @tanstack. Paket‑paket tersebut terlihat sah karena dipublikasikan melalui pipeline resmi proyek.

Di dalam paket tersebut disisipkan malware Mini Shai‑Hulud, yang dirancang untuk:

• Mengidentifikasi lingkungan pengembangan
• Mengumpulkan token dan kredensial sensitif
• Menargetkan sistem CI seperti GitHub Actions

Malware ini kemudian menyebar cepat di ekosistem open‑source. Peneliti keamanan melaporkan bahwa lebih dari 160 paket di npm dan PyPI akhirnya terdampak oleh kampanye tersebut.

Bagaimana token GitHub Grafana bocor

Menurut hasil investigasi internal Grafana, salah satu paket TanStack yang terinfeksi dijalankan di lingkungan pengembangan mereka. Komponen pencuri kredensial di dalamnya berhasil mengambil GitHub workflow token yang digunakan oleh pipeline CI/CD Grafana.

Setelah serangan supply‑chain terdeteksi secara luas, Grafana melakukan proses rotasi kredensial untuk menonaktifkan token yang berpotensi bocor. Namun satu token workflow tidak ikut terrotasi dan masih aktif.

Token yang terlewat inilah yang kemudian digunakan oleh pelaku untuk mengakses lingkungan GitHub Grafana secara tidak sah.

Data apa saja yang diakses penyerang

Berdasarkan pengungkapan Grafana dan laporan eksternal, pelaku:

• Mengakses lingkungan GitHub perusahaan
• Mengunduh repositori kode sumber Grafana
• Mengambil repositori internal yang digunakan untuk kolaborasi dan dokumentasi operasional

Beberapa laporan menyebut bahwa repositori tersebut juga berisi informasi kontak bisnis dan alamat email yang tersimpan dalam dokumentasi internal.

Namun Grafana menegaskan bahwa investigasi mereka tidak menemukan bukti akses ke data pelanggan atau informasi pribadi pelanggan.

Upaya pemerasan setelah pencurian data

Setelah repositori diunduh, penyerang mengirim permintaan tebusan kepada Grafana dengan ancaman akan mempublikasikan data yang dicuri.

Kronologi yang dilaporkan kira‑kira sebagai berikut:

• 11 Mei 2026: aktivitas mencurigakan terdeteksi dan respons insiden dimulai
• 16 Mei 2026: pelaku mengirim tuntutan tebusan

Grafana menyatakan tidak memenuhi tuntutan tersebut dan segera menonaktifkan kredensial yang terkompromi serta memulai investigasi forensik.

Mengapa Grafana mengatakan pelanggan tidak terdampak

Grafana menekankan bahwa insiden ini terbatas pada lingkungan GitHub internal, bukan pada infrastruktur produksi mereka.

Menurut hasil investigasi perusahaan:

• Sistem produksi dan infrastruktur Grafana Cloud tidak terkompromi
• Operasi pelanggan tetap berjalan normal
• Tidak ada bukti akses terhadap data pelanggan atau informasi pribadi

Karena itu, dampak utama insiden ini adalah akses ke kode sumber dan repositori internal, bukan ke sistem operasional atau data pengguna.

Mengapa kode sumber tidak diubah

Grafana mengatakan aktivitas penyerang yang terdeteksi hanya mencakup akses dan pengunduhan repositori, tanpa indikasi perubahan pada kode.

Dengan kata lain, insiden ini lebih berupa data exfiltration daripada sabotase kode atau kompromi pipeline rilis. Namun kesimpulan ini terutama didasarkan pada investigasi internal Grafana karena detail forensik pihak ketiga tidak dipublikasikan secara lengkap.

Bagaimana kasus ini masuk dalam kampanye Mini Shai‑Hulud

Insiden Grafana merupakan contoh nyata bagaimana serangan supply‑chain modern menargetkan pipeline pengembangan perangkat lunak.

Dalam kampanye Mini Shai‑Hulud, pelaku menyebarkan paket berbahaya ke ekosistem pengembang untuk mencuri kredensial dari lingkungan developer dan sistem CI.

Pola serangannya biasanya seperti ini:

1. Paket berbahaya dipublikasikan di repositori resmi.
2. Paket tersebut dijalankan oleh developer atau pipeline CI.
3. Malware mencuri token dan kredensial.
4. Penyerang menggunakan kredensial itu untuk masuk ke sistem kontrol kode seperti GitHub.
5. Data diunduh lalu korban diperas.

Kasus Grafana menunjukkan bagaimana satu token yang terlewat dalam rotasi kredensial dapat menjadi titik masuk bagi penyerang setelah serangan supply‑chain awal berhasil.

Insiden ini juga menjadi pengingat bagi perusahaan teknologi bahwa pipeline pengembangan — termasuk CI/CD, token otomatis, dan repositori kode — kini menjadi target utama dalam serangan terhadap rantai pasokan perangkat lunak.