Grafana Labs 遭 TanStack npm 供應鏈攻擊:原始碼竊取、勒索威脅、拒付贖金
Grafana Labs Blog · 2026-05-19
Grafana Labs 於 2026 年 5 月 19 日公開說明一起源自 TanStack npm 供應鏈攻擊(「Mini Shai-Hulud campaign」)的資安事件。攻擊者在 5 月 11 日取得初始存取權,5 月 16 日發出勒索要求,威脅公開竊取的資料。Grafana Labs 拒絕支付贖金,並依聯邦調查局建議的立場行動。
攻擊向量與橫向移動
攻擊鏈起點是 TanStack npm 供應鏈事件,攻擊者透過受感染的套件取得受害方環境的初始立足點。Grafana Labs 雖然在發現後旋即輪換了主要憑證,但一個 GitHub workflow token 被遺漏未輪換,攻擊者利用這個殘餘存取點進一步下載 GitHub repository 資料。
這個「missed token」的問題反映了供應鏈攻擊後的憑證盤點困難:在緊急應變中難以追蹤所有自動化服務帳號和 workflow token 的完整清單,特別是跨多個 repository 和 CI/CD 系統的整合。
遭竊資料範圍
- 公開與私有 GitHub repository 的原始碼
- 內部 repository 中的營運相關資訊
- 業務往來的聯絡人姓名與電子郵件
客戶生產系統未受影響,Grafana Labs 未發現客戶資料遭到存取的證據。
修補措施
Grafana Labs 的應對措施包括:輪換所有自動化與 GitHub workflow token、部署強化監控、稽核事件期間(5 月 11 日以來)的所有 commit、大幅強化 GitHub 安全設定,以及提升 CI/CD 管線的安全控制。事件已通報聯邦執法機關。
這起事件凸顯了供應鏈攻擊後憑證輪換的系統性挑戰:光靠手動清單難以保證涵蓋所有自動化憑證,需要有自動化的 token inventory 與失效機制才能有效因應。
原始來源:Grafana Labs Blog
Kubernetes v1.36 Volume Group Snapshot 晉升 GA:多磁碟區一致快照進入正式支援
Kubernetes Blog · 2026-05-08
Kubernetes v1.36 將 Volume Group Snapshot 功能晉升至 GA(General Availability),API 版本從 v1beta2 升至 groupsnapshot.storage.k8s.io/v1。此功能自 v1.27 Alpha、v1.32 Beta 一路演進,主要解決多磁碟區應用程式需要跨磁碟區崩潰一致性快照(crash-consistent snapshot)的需求。
核心 API 設計
Volume Group Snapshot 由三個 CRD 組成:
- VolumeGroupSnapshot:使用者建立,透過 label selector 指定要納入群組快照的 PVC
- VolumeGroupSnapshotContent:由 snapshot controller 自動建立,對應底層 CSI 快照資源
- VolumeGroupSnapshotClass:叢集管理員定義,指定 CSI driver 與刪除策略
apiVersion: groupsnapshot.storage.k8s.io/v1
kind: VolumeGroupSnapshot
spec:
volumeGroupSnapshotClassName: csi-groupSnapclass
source:
selector:
matchLabels:
group: myGroup適用場景與限制
典型使用情境是資料庫將 data 與 WAL/log 分放在不同 PVC 上的架構——單獨對其中一個 PVC 建立快照會導致不一致狀態,Volume Group Snapshot 確保所有指定 PVC 在同一時間點建立快照,提供可靠的還原點。
此功能僅支援 CSI volume driver,不適用於 in-tree 儲存驅動。GA 相較於 v1.34 Beta v2 的主要改善是 restoreSize 報告精確度,以及基於 Beta 回饋的穩定性修正。叢集管理員無需開啟 feature gate,功能預設可用。
原始來源:Kubernetes Blog