เบื้องหลังเหตุ Grafana ถูกเจาะ GitHub ในปี 2026 จากซัพพลายเชน npm

ในช่วงเวลาสั้น ๆ มีการเผยแพร่แพ็กเกจอันตรายจำนวนมากใน namespace @tanstack โดยฝังมัลแวร์ที่ชื่อว่า Mini Shai‑Hulud ซึ่งออกแบบมาเพื่อสำรวจสภาพแวดล้อมนักพัฒนาและขโมยโทเค็นจากเครื่องมืออย่าง GitHub Actions และระบบ CI ต่าง ๆ

นักวิจัยด้านความปลอดภัยรายงานภายหลังว่าการโจมตีครั้งนี้แพร่กระจายอย่างรวดเร็วและส่งผลกระทบต่อ แพ็กเกจมากกว่า 160 รายการใน npm และ PyPI รวมถึงเครื่องมือยอดนิยมที่นักพัฒนาทั่วโลกใช้ในกระบวนการพัฒนา

โทเค็น GitHub ที่ทำให้ผู้โจมตีเข้าถึง Grafana

จากการสอบสวนภายใน Grafana พบว่าแพ็กเกจ TanStack ที่มีโค้ดอันตรายถูกเรียกใช้ในสภาพแวดล้อมการพัฒนาของบริษัท ทำให้โมดูลขโมยข้อมูลสามารถดึง GitHub workflow token ที่ใช้ใน pipeline ของ CI/CD ได้

หลังจากการโจมตีซัพพลายเชนถูกเปิดเผย Grafana ได้เริ่มกระบวนการ หมุนรหัสข้อมูลรับรอง (credential rotation) เพื่อยกเลิกโทเค็นที่อาจถูกขโมย อย่างไรก็ตามมี โทเค็น GitHub workflow หนึ่งตัวที่ตกหล่นและไม่ได้ถูกหมุนรหัส

โทเค็นดังกล่าวยังคงใช้งานได้ และกลายเป็นช่องทางให้ผู้โจมตีใช้ล็อกอินเข้าสู่สภาพแวดล้อม GitHub ของ Grafana และเข้าถึงรีโพซิทอรีของบริษัท

ข้อมูลใดถูกเข้าถึง

ตามการเปิดเผยของ Grafana และรายงานภายนอก ผู้โจมตีสามารถ:

• เข้าถึงสภาพแวดล้อม GitHub ของบริษัท
• ดาวน์โหลดรีโพซิทอรีซอร์สโค้ดของ Grafana
• ดึงข้อมูลจากรีโพซิทอรี GitHub ภายในที่ใช้สำหรับการทำงานร่วมกันและเอกสารปฏิบัติการ

รายงานบางฉบับระบุว่าเนื้อหาที่ถูกดาวน์โหลดอาจรวมถึง รีโพซิทอรีการทำงานร่วมกันภายใน รายชื่อผู้ติดต่อทางธุรกิจ และอีเมล ที่จัดเก็บอยู่ในรีโพซิทอรีเหล่านั้น

อย่างไรก็ตาม Grafana ระบุว่าการตรวจสอบไม่พบหลักฐานว่ามี ข้อมูลลูกค้าหรือข้อมูลส่วนบุคคลของผู้ใช้ถูกเข้าถึง

ความพยายามรีดไถข้อมูล

หลังจากดาวน์โหลดรีโพซิทอรีแล้ว ผู้โจมตีได้ส่ง ข้อเรียกร้องค่าไถ่ พร้อมขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมา หาก Grafana ไม่จ่ายเงิน

ตามไทม์ไลน์ของเหตุการณ์ที่มีการรายงาน:

• 11 พฤษภาคม 2026: ตรวจพบกิจกรรมผิดปกติและเริ่มกระบวนการตอบสนองเหตุการณ์
• 16 พฤษภาคม 2026: ผู้โจมตีส่งข้อเรียกร้องค่าไถ่

Grafana ระบุว่าบริษัทได้ยกเลิกโทเค็นที่ถูกขโมยทันทีและเริ่มการตรวจสอบเชิงนิติวิทยาศาสตร์ (forensic investigation) หลังจากตรวจพบการบุกรุก

ทำไม Grafana บอกว่าลูกค้าไม่ได้รับผลกระทบ

Grafana ย้ำว่าการบุกรุกครั้งนี้ จำกัดอยู่เฉพาะสภาพแวดล้อม GitHub ของบริษัท ไม่ได้กระทบโครงสร้างพื้นฐานโปรดักชันหรือแพลตฟอร์ม Grafana Cloud

จากผลการสอบสวนของบริษัท:

• ระบบโปรดักชันและโครงสร้างพื้นฐาน Grafana Cloud ไม่ถูกเจาะ
• การดำเนินงานของลูกค้าไม่ได้รับผลกระทบ
• ไม่พบการเข้าถึงข้อมูลลูกค้าหรือข้อมูลส่วนบุคคล

เนื่องจากการโจมตีมุ่งเน้นที่การเข้าถึงรีโพซิทอรีบน GitHub เหตุการณ์นี้จึงเกี่ยวข้องกับ ซอร์สโค้ดและเอกสารภายใน มากกว่าระบบที่ใช้ให้บริการจริง

ทำไมซอร์สโค้ดไม่ได้ถูกแก้ไข

Grafana ระบุว่าผู้โจมตี ดาวน์โหลดรีโพซิทอรีแต่ไม่ได้แก้ไขโค้ด

พฤติกรรมที่ตรวจพบในเหตุการณ์นี้เป็นการเข้าถึงโดยไม่ได้รับอนุญาตและการดึงข้อมูลออกจากระบบ (data exfiltration) มากกว่าการพยายามแก้ไขโค้ดหรือแทรกโค้ดอันตรายในกระบวนการปล่อยซอฟต์แวร์ อย่างไรก็ตาม ข้อสรุปนี้ส่วนใหญ่พึ่งพาผลการตรวจสอบภายในของ Grafana เนื่องจากยังไม่มีรายงานนิติวิทยาศาสตร์จากบุคคลที่สามเผยแพร่อย่างละเอียด

เหตุการณ์นี้เชื่อมโยงกับแคมเปญ Mini Shai‑Hulud อย่างไร

กรณีของ Grafana แสดงให้เห็นรูปแบบการโจมตีที่พบบ่อยมากขึ้นในยุค software supply‑chain attack

แคมเปญ Mini Shai‑Hulud แพร่กระจายผ่านแพ็กเกจโอเพ่นซอร์สที่ถูกฝังโค้ดอันตรายในระบบนิเวศของนักพัฒนา โดยมุ่งเป้าไปที่เครื่องมือและระบบ CI ที่บริษัทและผู้ดูแลโครงการใช้ในการพัฒนาซอฟต์แวร์

ลำดับการโจมตีโดยทั่วไปมีลักษณะดังนี้:

1. ปล่อยเวอร์ชันแพ็กเกจที่ถูกดัดแปลงผ่านรีโพซิทอรีโอเพ่นซอร์ส
2. นักพัฒนาหรือระบบ CI ดาวน์โหลดและรันแพ็กเกจเหล่านั้น
3. มัลแวร์ภายในแพ็กเกจขโมยโทเค็นและข้อมูลรับรอง
4. ผู้โจมตีใช้ข้อมูลรับรองเพื่อเข้าถึงระบบควบคุมซอร์สโค้ด เช่น GitHub
5. ดึงข้อมูลออกจากระบบและข่มขู่เหยื่อด้วยการรีดไถ

ในกรณีของ Grafana การผสมกันของ โทเค็น CI ที่ถูกขโมย และ โทเค็นหนึ่งตัวที่ไม่ได้ถูกหมุนรหัส ทำให้ผู้โจมตีสามารถเข้าถึงรีโพซิทอรี GitHub ของบริษัทได้สำเร็จ

เหตุการณ์นี้จึงกลายเป็นตัวอย่างสำคัญว่าการโจมตีซัพพลายเชนยุคใหม่กำลังหันมาเล็งเป้าที่ pipeline การพัฒนาและระบบอัตโนมัติของนักพัฒนา ซึ่งโทเค็นและข้อมูลรับรองในระบบเหล่านี้สามารถเปิดทางให้เข้าถึงซอร์สโค้ดและข้อมูลภายในองค์กรได้โดยตรง.