Inside Kebocoran Token GitHub Grafana dan Upaya Pemerasan Source Code

Yang penting: penyelidikan menunjukkan bahwa serangan ini bersifat akses data, bukan sabotase. Penyerang hanya mengunduh kode sumber dan tidak mengubah repositori atau menanam malware di sistem Grafana.

Permintaan tebusan setelah pencurian kode

Setelah mendapatkan kode tersebut, penyerang menghubungi Grafana dan meminta tebusan dengan imbalan tidak mempublikasikan kode sumber yang dicuri.

Model tekanan seperti ini sering disebut "pay‑or‑leak". Alih‑alih mengenkripsi sistem seperti ransomware tradisional, penyerang mencuri data bernilai tinggi lalu mengancam akan membocorkannya jika korban tidak membayar.

Grafana menolak permintaan tersebut.

Mengapa Grafana menolak membayar

Menurut hasil investigasi internal perusahaan, tidak ditemukan bukti bahwa:

• data pelanggan atau informasi pribadi diakses
• sistem produksi ditembus
• operasi bisnis terganggu

Temuan tersebut membuat dampak insiden relatif terbatas pada repositori kode sumber saja. Karena tidak ada gangguan operasional maupun kebocoran data pelanggan, Grafana memutuskan tidak memberikan insentif kepada penyerang dengan membayar tebusan.

Perusahaan juga mencabut kredensial yang terdampak dan menerapkan langkah keamanan tambahan sebagai bagian dari respons insiden.

Apakah ada kelompok hacker tertentu di baliknya?

Hingga kini, tidak ada atribusi resmi yang memastikan siapa pelaku serangan tersebut. Identitas penyerang masih belum diketahui secara pasti.

Namun, beberapa analis keamanan membandingkan pola serangan ini dengan aktivitas kelompok seperti ShinyHunters, yang dikenal melakukan pembobolan data dan kemudian memeras perusahaan agar membayar untuk mencegah kebocoran publik.

Kelompok semacam ini biasanya tidak mengenkripsi sistem korban. Mereka fokus pada pencurian data bernilai tinggi lalu menjualnya atau membocorkannya jika perusahaan menolak membayar.

Meski demikian, tidak ada bukti yang mengonfirmasi bahwa ShinyHunters terlibat langsung dalam insiden Grafana.

Dampak bagi pelanggan Grafana

Grafana menegaskan bahwa insiden ini tidak memengaruhi pelanggan atau layanan mereka.

Hasil investigasi menyatakan:

• Tidak ada data pelanggan atau informasi pribadi yang diakses.
• Tidak ada sistem produksi yang ditembus.
• Operasi bisnis perusahaan tetap berjalan normal.

Dampak yang terkonfirmasi sejauh ini terbatas pada pencurian kode sumber dari repositori GitHub privat.

Mengapa kasus ini penting bagi keamanan supply chain perangkat lunak

Walaupun tidak melibatkan data pelanggan, pencurian kode sumber tetap memiliki nilai tinggi bagi penyerang.

Repositori privat dapat mengungkap banyak hal, seperti:

• arsitektur internal sistem
• praktik keamanan dan pengelolaan kredensial
• fitur produk yang belum dirilis
• potensi kerentanan yang bisa dieksploitasi di masa depan

Karena itu, platform pengembangan berbasis cloud seperti GitHub kini menjadi target utama dalam serangan siber modern.

Kasus Grafana menunjukkan bagaimana satu token yang bocor di dalam workflow otomatis dapat membuka akses ke kode sensitif tanpa perlu menembus sistem produksi.

Seiring semakin banyak perusahaan mengandalkan pipeline pengembangan otomatis, melindungi token, kredensial developer, dan workflow CI/CD kini menjadi bagian penting dari keamanan rantai pasokan perangkat lunak.