返回首页

Grafana拒绝向黑客支付赎金:一堂网络安全课

Grafana Labs拒绝向黑客组织Coinbase Cartel支付赎金,该组织通过GitHub Actions中的漏洞窃取了源代码。该事件未影响客户数据,公司遵循FBI建议不资助勒索者,将攻击转变为公开的网络韧性课程。

Grafana vs Coinbase Cartel:公司为何不为代码支付赎金
Advertisement 728x90

Grafana拒绝为被盗代码支付赎金

攻击者泄露了GitHub仓库,但客户数据未受影响。该公司决定不向勒索者屈服,并准备公布入侵细节。


“我们不需要你”:Grafana如何冷落黑客,将入侵变成整个行业的教训

5月15日,网络组织Coinbase Cartel在其泄露网站上发布了Grafana Labs的信息,并附上嘲讽的留言:“我们能造成的伤害超乎你的想象。”5月17日,Grafana回应了。不是用钱,而是在X上发了一条简短的帖子,结尾写道:“我们认定正确的做法是不支付赎金。”

没有谈判,没有带着比特币公文包的危机顾问。这家数据可视化软件运行在《财富》500强半数公司数据中心的企业,直接拒绝按勒索者的规则行事。而且,根据调查的第一批细节,他们有充分的理由这样做。

Google AdInline article slot

一个价值为零的令牌如何打开了王国的大门

这次攻击既不复杂也不优雅。攻击者没有通过多步钓鱼攻击突破边界,也没有利用零日漏洞。他们获得了Grafana Labs GitHub环境的一个访问令牌——这足以下载整个代码库。

问题的根源在于一个特定的技术错误。其中一个仓库启用了存在“Pwn Request”类型漏洞的GitHub Action——这是pull_request_target事件上的经典配置错误。这个触发器允许提交拉取请求的外部贡献者在CI/CD运行期间访问生产密钥。攻击者fork了仓库,通过curl注入恶意代码,将环境变量泄露到一个加密文件中,并立即删除fork以掩盖踪迹。然后,他们又对另外四个私有仓库重复了同样的攻击。

入侵是通过蜜罐令牌检测到的——Grafana在其基础设施中放置了数千个这样的陷阱,其中一个被触发,立即通知了全球安全团队。从那一刻起,一场竞赛开始了:公司同时进行取证分析、撤销被泄露的凭证,并禁用有漏洞的工作流。

Google AdInline article slot

调查结果:客户数据未受影响,个人信息未受影响,对用户系统和运营的影响为零。攻击者只拿到了代码。

为什么Coinbase Cartel不仅仅是黑客,而是一个传奇联盟

Coinbase Cartel这个名字听起来几乎有些滑稽。但背后是一个分析师认为与三个让全球CISO闻风丧胆的名字相关的组织:ShinyHunters、Scattered Spider和Lapsus$。这些团队至少从2025年年中开始协调行动,据一些数据称,他们从2024年就开始合作。

Coinbase Cartel的策略与经典勒索软件团伙不同。他们不加密文件,也不瘫痪基础设施。他们窃取敏感数据,要求支付赎金以换取不披露,并有条不紊地摧毁拒绝支付者的声誉。在攻击Grafana时,他们的泄露网站上列出了105名受害者。其中包括:Instructure(Canvas LMS的创建者)、Vimeo、Wynn Resorts、Vercel和Medtronic。

Google AdInline article slot

受害者行为之间的对比本身就是一场戏剧。Instructure的教育软件服务于2.75亿学生和教师,上周向勒索者支付了赎金。Grafana没有。区别在于Instructure的用户数据被泄露,而Grafana“只有”源代码。当涉及2.5亿人的隐私时,声誉风险的计算方式会发生巨大变化。

开源、闭源,以及被索要比特币的代码

这引出了一个问题,The Register以其特有的讽刺口吻提出:“如果攻击者下载的代码大部分本来就是开源的,为什么要付钱?”Grafana是一个开源产品。其大部分代码库在GitHub上公开可用。

但细节决定成败。Grafana Labs确认攻击者访问了私有仓库。这些仓库可能包含任何内容:内部工具、未记录的端点、认证逻辑、企业客户的配置脚本。安全研究人员已经指出,这样的代码泄露将风险从“隐私”层面转移到“未来攻击路线图”层面——攻击者可以花数月时间研究源代码,寻找模式以实现更深层次的渗透。

Grafana理解这一点。但计算很简单:支付赎金,你就资助了勒索生态系统,而且无法保证数据不会在一周内泄露。不支付,代码已经在攻击者手中,但进一步泄露不会给他们带来一分钱。该公司几乎逐字引用了FBI的立场:支付只会助长进一步的犯罪。

安全行业获得一堂免费的大师课

这一事件同时重塑了行业的多个层面。开源社区赢了:Grafana承诺在调查结束后发布详细的事后审查报告。全球的DevOps和DevSecOps工程师将获得一个包含攻击向量、时间线和应对措施的真实案例研究——不是合成的训练场景,而是真实的战斗经验。

尚未检查其GitHub Action是否存在pull_request_target漏洞的公司输了。研究人员称,这一攻击面在开源生态系统中被“严重低估”。每个合并外部贡献者拉取请求而未进行彻底工作流审计的公共仓库现在看起来都是潜在目标。

赎金谈判者也输了。越多公司公开拒绝支付并生存下来而没有灾难性后果,勒索者在谈判桌上的地位就越弱。Grafana开创了一个先例:如果你的安全架构最初就将用户数据与开发工具分离,你可以丢失代码并继续运营而不受干扰。

5月17日之后会发生什么

Grafana已经撤销了被泄露的令牌,禁用了有漏洞的GitHub Action,并在审计期间关闭了所有公共仓库中的工作流。未来几周,该公司将发布最终报告。它将成为DevSecOps世界中阅读量最大的文档之一——其关注度堪比SolarWinds入侵分析。

我预计会有三个具体后果。第一:GitHub将收紧pull_request_target的默认设置,或至少在界面中添加更激进的警告。太多公司犯了同样的错误。第二:Coinbase Cartel将加大压力。他们的投资组合中有105名受害者,而Grafana的公开拒绝是对其商业模式的打击。可能会进行报复,可能以在暗网论坛上泄露被盗代码的形式。第三:全球的CISO现在正在向他们的团队写请求:“检查我们是否有带密钥访问权限的pull_request_target。”而这也许是整个事件最好的结果。

Grafana展示了成熟的态度:没有恐慌,没有否认,没有装满加密货币的手提箱。只有冷静的技术分析、令牌撤销和实时错误修正。黑客偷走了代码——但没有偷走控制权。在一个勒索软件已成为数十亿美元产业的世界里,这样的回应比任何赎金都更有价值。

— Editorial Team

Advertisement 728x90

继续阅读

合作伙伴新闻