Bocornya Kode Sumber Grafana di GitHub Akibat Serangan Rantai Pasokan TanStack npm

Grafana Labs mengumumkan pada tanggal 19 Mei 2026 bahwa investigasi atas insiden kebocoran yang dialaminya menunjukkan tidak ada bukti kompromi terhadap sistem produksi pelanggan ataupun operasi layanan mereka.

Insiden ini terbatas pada lingkungan GitHub Grafana Labs, yang mencakup kode sumber publik dan privat serta repositori internal lainnya. Grafana menjelaskan bahwa selain kode sumber, konten yang diunduh juga memuat repositori GitHub yang digunakan oleh beberapa tim internal Grafana Labs untuk berkolaborasi serta menyimpan informasi operasional dan detail bisnis lainnya.

"Ini termasuk nama kontak bisnis dan alamat email yang digunakan dalam konteks hubungan profesional, bukan informasi yang diambil atau diproses melalui sistem produksi atau platform Grafana Cloud," jelas pernyataan resmi dari Grafana Labs.

Asal Usul Serangan: TanStack npm Supply Chain Attack

Grafana menyatakan bahwa pelanggaran ini berawal dari serangan rantai pasokan npm yang melibatkan TanStack, yang juga menyerang OpenAI dan Mistral AI. Aktivitas mencurigakan ini terdeteksi pada 11 Mei 2026.

Perusahaan kemudian melakukan analisis dan segera mengganti sejumlah besar token workflow GitHub. Namun, ada token yang terlewat sehingga penyerang berhasil mengakses repositori GitHub mereka.

"Review selanjutnya mengonfirmasi bahwa workflow GitHub tertentu yang awalnya kami anggap tidak terdampak ternyata telah dikompromikan," ungkap Grafana.

Upaya Mitigasi dan Penolakan Membayar Ransom

Grafana menerima permintaan pemerasan dari pelaku ancaman tak dikenal pada 16 Mei 2026, namun perusahaan menolak membayar tebusan karena tidak ada jaminan data yang dicuri akan dihapus, serta kekhawatiran pembayaran akan memicu kampanye serangan lebih lanjut.

Sejak itu, Grafana telah:

• Mengganti token otomatisasi secara besar-besaran
• Mengimplementasikan pengawasan keamanan yang lebih ketat
• Mengaudit seluruh commit untuk mendeteksi aktivitas berbahaya
• Memperkuat postur keamanan GitHub secara menyeluruh

Perlu dicatat, kelompok pemeras data bernama CoinbaseCartel sempat memasukkan Grafana Labs dalam daftar target mereka di situs dark web pada 15 Mei 2026.

Menurut laporan The Hacker News, pihak Grafana telah dihubungi untuk memberikan komentar dan akan memberikan pembaruan jika ada tanggapan lebih lanjut.

Konteks Lebih Luas: Ancaman Terhadap Repositori Internal GitHub

Kasus ini terjadi bersamaan dengan pengumuman GitHub yang sedang menyelidiki akses tak sah ke repositori internal mereka setelah pelaku ancaman terkenal bernama TeamPCP menawarkan kode sumber dan organisasi internal GitHub untuk dijual di forum kejahatan siber.

Analisis Redaksi

Menurut pandangan redaksi, insiden kebocoran kode sumber Grafana melalui serangan rantai pasokan TanStack npm ini menjadi peringatan serius tentang kerentanan ekosistem pengembangan perangkat lunak modern. Ketergantungan pada paket-paket npm yang rentan dan pengelolaan token otomatisasi yang kurang ketat membuka celah besar bagi pelaku siber.

Walaupun sistem produksi pelanggan tidak terdampak, kebocoran kode sumber internal dan informasi bisnis bisa dimanfaatkan untuk serangan lanjutan, rekayasa sosial, atau pengembangan eksploit baru. Perusahaan teknologi lain harus segera meninjau dan memperkuat pengamanan token serta repositori internal mereka.

Keputusan Grafana untuk tidak membayar tebusan juga mencerminkan sikap yang semakin diadopsi oleh banyak organisasi, mengingat risiko pembayaran yang mendorong eskalasi serangan. Namun, publik harus terus memantau respons keamanan Grafana dan GitHub, sebab kasus ini bisa menjadi benchmark bagaimana perusahaan teknologi menangani serangan rantai pasokan yang semakin canggih.

Ke depan, penguatan keamanan rantai pasokan perangkat lunak, audit rutin token akses, dan transparansi insiden serangan akan menjadi kunci untuk mencegah skala serangan yang lebih besar dan kerugian yang meluas.