Grafana : vol de token GitHub, téléchargement du code source et tentative d'extorsion par CoinbaseCartel

🔍 Contexte

Source : The Hacker News, publié le 17 mai 2026. Grafana, éditeur de la plateforme d’observabilité Grafana Cloud, a divulgué publiquement une violation de sécurité impliquant le vol d’un token d’accès à son environnement GitHub.

🎯 Déroulement de l’incident

Un token GitHub compromis a permis à un acteur non autorisé d’accéder à l’environnement GitHub de Grafana et de télécharger son code source. Grafana a découvert l’activité « récemment » sans préciser la date exacte ni la durée d’exposition. L’entreprise a immédiatement lancé une analyse forensique, invalidé les identifiants compromis et renforcé ses mesures de sécurité.

💰 Tentative d’extorsion

L’attaquant a tenté de faire chanter Grafana, exigeant un paiement pour ne pas publier le code volé. Grafana a refusé de payer la rançon, en citant les recommandations du FBI qui déconseille de négocier avec les extorqueurs.

🕵️ Attribution

L’incident a été revendiqué par le groupe CoinbaseCartel, selon les sources Hackmanac et Ransomware.live. D’après Halcyon et Fortinet FortiGuard Labs :

• CoinbaseCartel est apparu en septembre 2025
• Il est évalué comme une émanation des écosystèmes ShinyHunters, Scattered Spider et LAPSUS$
• Le groupe se concentre exclusivement sur le vol de données et l’extorsion (pas de chiffrement ransomware)
• Il revendique 170 victimes dans les secteurs santé, technologie, transport, industrie et services aux entreprises

📊 Impact déclaré

• Aucune donnée client ni information personnelle n’a été accédée selon Grafana
• Aucun impact sur les systèmes ou opérations clients n’a été détecté
• Le codebase exact téléchargé n’a pas été précisé

🔗 Contexte élargi

L’incident survient peu après qu’Instructure (edtech américaine) a choisi de régler avec le groupe ShinyHunters après une menace de fuite de données appartenant à des milliers d’établissements scolaires américains.

📰 Type d’article

Annonce d’incident combinant des éléments de rapport d’incident. But principal : informer sur la violation subie par Grafana, l’attribution à CoinbaseCartel et le refus de paiement de la rançon.

🧠 TTPs et IOCs détectés

Acteurs de menace

• CoinbaseCartel (cybercriminal) — Malpedia
• ShinyHunters (cybercriminal) — orkl.eu · Malpedia
• Scattered Spider (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
• LAPSUS$ (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1528 — Steal Application Access Token (Credential Access)
• T1213 — Data from Information Repositories (Collection)
• T1657 — Financial Theft (Impact)
• T1537 — Transfer Data to Cloud Account (Exfiltration)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ thehackernews.com — source reconnue (liste interne) (20pts)
• ✅ 4722 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : CoinbaseCartel, ShinyHunters, Scattered Spider (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://thehackernews.com/2026/05/grafana-github-token-breach-led-to.html