สรุปสั้น

Grafana Labs ผู้พัฒนาแพลตฟอร์ม open-source monitoring และ observability ยอดนิยม เปิดเผยว่าผู้โจมตีสามารถเข้าถึง GitHub environment ของบริษัทและดาวน์โหลด codebase ทั้งหมดออกไปผ่าน compromised token กลุ่มอาชญากรไซเบอร์ที่เรียกตัวเองว่า CoinbaseCartel อ้างความรับผิดชอบต่อเหตุการณ์นี้ และเรียกค่าไถ่จาก Grafana เพื่อแลกกับการไม่เผยแพร่ source code ที่ขโมยมา อย่างไรก็ตาม Grafana ตัดสินใจปฏิเสธไม่จ่ายเงิน โดยอ้างแนวทางของ FBI ที่เตือนว่าการจ่ายค่าไถ่ไม่ได้รับประกันว่าข้อมูลจะถูกลบจริง จากการสอบสวนพบว่าไม่มีข้อมูลลูกค้าหรือข้อมูลส่วนบุคคลถูกเข้าถึง CoinbaseCartel เป็นกลุ่มที่ปรากฏตัวขึ้นในเดือนกันยายน 2025 และถูกประเมินว่าเป็นกลุ่มย่อยจากระบบนิเวศของ ShinyHunters, Scattered Spider และ LAPSUS$

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 17 พฤษภาคม พ.ศ. 2569 ว่า Grafana Labs ได้เปิดเผยเหตุการณ์ด้านความปลอดภัยที่ผู้โจมตีสามารถเข้าถึงส่วนหนึ่งของ GitHub environment ของบริษัทผ่าน token ที่ถูกขโมย จากนั้นดาวน์โหลด codebase ทั้งหมดของบริษัทออกไป กลุ่ม CoinbaseCartel ซึ่งเป็นกลุ่ม data extortion ที่ปรากฏตัวครั้งแรกในเดือนกันยายน 2025 อ้างความรับผิดชอบและพยายามขู่กรรโชก Grafana ให้จ่ายเงินเพื่อป้องกันการเผยแพร่ source code Grafana ตอบโต้ด้วยการปฏิเสธจ่ายเงิน อ้างอิงแนวทางของ FBI ที่ระบุว่าการจ่ายค่าไถ่ไม่รับประกันว่าข้อมูลจะถูกกู้คืนหรือเก็บเป็นความลับ ทีมรักษาความปลอดภัยของ Grafana ดำเนินการวิเคราะห์ทางนิติวิทยาศาสตร์ทันทีหลังพบเหตุการณ์ ระบุแหล่งที่มาของการรั่วไหล ยกเลิก credentials ที่ถูกขโมย และเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติม

วิธีการโจมตี

ผู้โจมตีได้ token ที่ใช้เข้าถึง GitHub environment ของ Grafana (รายละเอียดวิธีการได้มาซึ่ง token ยังไม่ถูกเปิดเผย) จากนั้นใช้ token นี้เข้าถึง repository และดาวน์โหลด codebase ทั้งหมดออกไป เนื่องจาก Grafana เป็นโปรเจกต์ open-source ส่วนใหญ่อยู่บน GitHub อยู่แล้ว แต่ส่วนที่ถูกขโมยรวมถึงโค้ดภายใน (proprietary) ที่ไม่ได้เปิดเผยสาธารณะด้วย กลุ่ม CoinbaseCartel ใช้กลยุทธ์ “pay or we publish” เพื่อกดดัน ซึ่งเป็นรูปแบบเดียวกับที่ ShinyHunters และ LAPSUS$ ใช้มาก่อน

ผลกระทบต่อไทย

Grafana เป็นเครื่องมือ monitoring ที่ได้รับความนิยมสูงมากในประเทศไทย ใช้งานทั้งในบริษัทเทคโนโลยี ธนาคาร ผู้ให้บริการ cloud และทีม DevOps ทั่วไป หาก source code ที่ถูกขโมยถูกเผยแพร่ อาจมีผู้ไม่ประสงค์ดีวิเคราะห์โค้ดเพื่อค้นหาช่องโหว่ใหม่ที่ยังไม่ถูกค้นพบ (zero-day) และใช้โจมตี Grafana instance ที่ใช้งานอยู่ในองค์กรไทย นอกจากนี้เหตุการณ์นี้เป็นบทเรียนสำคัญเรื่องการจัดการ GitHub token และ secret management ที่ทีมพัฒนาซอฟต์แวร์ไทยทุกทีมควรนำไปปรับใช้

คำแนะนำ

  • ทบทวนและหมุนเวียน (rotate) GitHub token และ personal access token ทั้งหมดในองค์กร
  • เปิดใช้ GitHub secret scanning เพื่อตรวจจับ token ที่รั่วไหลโดยอัตโนมัติ
  • จำกัดสิทธิ์ของ token ตามหลัก least privilege ใช้ fine-grained personal access token แทน classic token
  • ตรวจสอบ audit log ของ GitHub organization สำหรับการ clone repository ที่ผิดปกติ
  • อัปเดต Grafana เป็นเวอร์ชันล่าสุดและติดตามการประกาศจาก Grafana Labs อย่างใกล้ชิด
  • พิจารณาใช้ GitHub branch protection rules และ required reviews เพื่อป้องกันการเปลี่ยนแปลงโค้ดโดยไม่ได้รับอนุญาต

แหล่งอ้างอิง