Grafana Labs confirmó esta semana uno de los incidentes de cadena de suministro de software más relevantes del mes: un actor malicioso identificado como CoinbaseCartel logró descargar la totalidad del codebase privado de la compañía abusando de un GitHub Action mal configurado. El mecanismo fue un token privilegiado que nunca fue rotado tras el compromiso previo del paquete npm TanStack —el mismo vector que semanas antes había afectado a GitHub. La detección llegó por un camino inesperado: uno de los canary tokens desplegados por el equipo de seguridad se activó, revelando que el código ya había salido de la organización.
Ante la exigencia de rescate, Grafana se negó a pagar, citando la postura pública del FBI y la ausencia de cualquier garantía de recuperación real. La empresa confirmó que no hay evidencia de acceso a datos de clientes. Sin embargo, el robo del código fuente completo abre una ventana de riesgo indirecta: actores motivados pueden analizar ese código en busca de vulnerabilidades que todavía no han sido reportadas ni parcheadas en versiones actualmente en producción.
Megalodon: 5.718 ataques en seis horas
El caso Grafana no es un hecho aislado: es parte de un patrón. Investigadores documentaron la campaña “Megalodon”, que inyectó workflows de GitHub Actions maliciosos en 5.561 repositorios en apenas seis horas, con un volumen de 5.718 commits automatizados. Los payloads, codificados en base64, exfiltraban secretos de CI/CD, credenciales cloud, claves SSH y tokens OIDC hacia servidores externos. La velocidad y la escala del ataque representan un nuevo umbral en la automatización de ataques a la cadena de suministro de software.
Ambos incidentes comparten una raíz técnica común: la superficie de ataque de GitHub Actions, amplificada por configuraciones permisivas del GITHUB_TOKEN, ausencia de branch protection y falta de auditoría periódica de workflows. El riesgo de programar rápido sin controles de seguridad integrados es un patrón bien documentado en la industria: la presión por velocidad en los ciclos de desarrollo convierte estas configuraciones descuidadas en vectores de ataque activos.
La cadena de suministro de software
Grafana está instalado como plataforma de observabilidad y monitoreo en bancos, telcos y operadores de servicios esenciales en Chile. El robo del código fuente no genera impacto directo sobre instalaciones on-premise, pero acorta el tiempo disponible para que los equipos apliquen parches antes de que aparezca un exploit público basado en el código sustraído. La Ley Marco de Ciberseguridad (Ley 21.663) exige a los operadores de importancia vital gestión activa de vulnerabilidades sobre componentes de terceros, incluyendo plataformas de observabilidad y monitoreo.
El riesgo de Megalodon es más inmediato. Fintechs, áreas de desarrollo de la banca y startups tecnológicas chilenas trabajan en repositorios GitHub donde conviven workflows de CI/CD con credenciales que conectan directamente a infraestructura productiva en AWS, Azure o GCP. Un token OIDC comprometido puede traducirse en acceso a producción en minutos. La decisión de Grafana de no pagar se alinea con lo que los datos del mercado latinoamericano confirman sistemáticamente: el pago no garantiza recuperación y financia la siguiente operación.
Los controles que señalan los expertos
Los investigadores identifican tres controles prioritarios para organizaciones con prácticas DevOps. Primero, revisar y limitar los permisos del GITHUB_TOKEN en todos los workflows activos, deshabilitando push automático sobre ramas protegidas. Segundo, auditar todos los workflows agregados o modificados en las últimas dos semanas y rotar cualquier secreto expuesto en entornos de CI compartidos con repositorios públicos. Tercero, habilitar branch protection con required reviews en repositorios que contengan pipelines de despliegue a producción.
El dato más importante del incidente de Grafana no es el robo: es la detección. Los canary tokens alertaron cuando el daño ya estaba hecho, pero su ausencia habría dejado el compromiso invisible por semanas. Invertir en mecanismos de detección de exfiltración —incluyendo tokens trampa en secretos críticos— es tan urgente como blindar el acceso inicial.
Fuente: The Record / The Hacker News