Op 19 mei 2026 heeft Grafana Labs bekendgemaakt dat een onderzoek naar een recente inbraak heeft aangetoond dat er geen aanwijzingen zijn dat klantproductiesystemen of operationele omgevingen zijn gecompromitteerd. De omvang van het incident beperkt zich tot de GitHub-omgeving van Grafana Labs, waar zowel publieke als private broncode en interne repositories zijn betrokken.

Volgens het bedrijf omvatten de gedownloade gegevens naast broncode ook GitHub-repositories die door verschillende teams worden gebruikt voor samenwerking en het opslaan van interne operationele informatie en bedrijfsdetails. Dit betreft onder meer zakelijke contactnamen en e-mailadressen die in een professionele context worden uitgewisseld, maar geen gegevens die afkomstig zijn uit of verwerkt worden via productieomgevingen of het Grafana Cloud-platform. De inbraak is het gevolg van een supply chain-aanval via de TanStack npm-pakketketen, uitgevoerd door de bekende dreigingsactor TeamPCP, die ook OpenAI en Mistral AI heeft getroffen. De verdachte activiteit werd op 11 mei 2026 gedetecteerd.

Grafana Labs voerde een analyse uit en rolde snel een groot aantal GitHub workflow-tokens opnieuw uit, maar een gemist token gaf aanvallers toch toegang tot de GitHub-repositories. Een vervolgonderzoek toonde aan dat een aanvankelijk als onaangetast beschouwde workflow toch was gecompromitteerd. Op 16 mei ontving het bedrijf een afpersingsverzoek van een niet nader genoemde dreigingsactor, maar besloot geen losgeld te betalen vanwege het ontbreken van garanties dat de gestolen data daadwerkelijk verwijderd zou worden en uit angst voor toekomstige aanvallen.

Sindsdien heeft Grafana maatregelen genomen zoals het roteren van automatiseringstokens, het implementeren van verbeterde monitoring, het auditen van alle commits op kwaadaardige activiteiten en het versterken van de algehele GitHub-beveiliging. Op 15 mei 2026 werd Grafana Labs ook vermeld op een darkwebsite van de afpersingsgroep CoinbaseCartel. GitHub zelf onderzoekt eveneens ongeautoriseerde toegang tot interne repositories, nadat TeamPCP de broncode en interne organisaties van het platform te koop aanbood op een cybercrimeforum. Meer informatie is te vinden in de security update van Grafana.