grafana github ortamı hacklendi, tanstack npm saldırısı üzerinden
arkadaşlar grafana labs’ın başına iş gelmiş. 19 mayıs 2026’da açıklama yaptılar, github ortamları hacklenmış. tanstack npm paketleri üzerinden gerçekleştirilmiş saldırı, oradan da grafana’nın github’ına sıçramış.
iyi haber şu ki: müşteri sistemlerine dokunulmamış, sadece github ortamları etkilenmiş. kötü haber ise: hem açık hem de kapalı kaynak kodları sızdırılmış, internal repository’ler de dahil.
ne olmuş peki
tanstack’in npm paketlerine saldırı düzenlenmiş. saldırganlar bu paketlere zararlı kod enjekte etmişler. grafana labs’ın development pipeline’ında bu paketler kullanıldığı için, oradan github ortamına erişim sağlamışlar.
spoiler: bu bir supply chain attack yani tedarik zinciri saldırısı. doğrudan hedefi vuramayınca, kullandığı araçları zehirleyip oradan giriyorlar.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Grafana GitHub Environment | 🔴 Etkilendi |
| Public Source Code | 🔴 Sızdırıldı |
| Private Source Code | 🔴 Sızdırıldı |
| Internal Repositories | 🔴 Erişildi |
| Customer Production Systems | ✅ Etkilenmedi |
| Grafana Cloud Operations | ✅ Güvende |
saldırı nasıl gerçekleşmiş
- saldırganlar önce tanstack’in npm paketlerine sızmışlar
- paketlere zararlı kod enjekte etmişler
- grafana labs’ın development ortamı bu paketleri kullanınca, zararlı kod çalışmış
- buradan github token’larına erişim sağlamışlar
- token’lar ile github ortamına girip kaynak kodları çekmişler
klasik supply chain attack işte. direkt kapıdan giremeyince, pencereden giriyorlar.
grafana ne diyor
grafana labs açıklamasında şunları söylemiş:
- müşteri production sistemlerine erişim yok
- operasyonel sistemler güvende
- sadece github ortamı etkilenmiş
- kaynak kod sızıntısı var ama müşteri verisi yok
- investigation devam ediyor
edit: şirket hızlı davranmış, hemen tüm github token’larını iptal etmişler ve yeni security kontrolleri uygulamaya başlamışlar.
siz ne yapacaksınız
eğer grafana kullanıyorsanız:
1. önce sakin olun
- müşteri sistemleri etkilenmemiş
- cloud operasyonları güvende
- ama yine de monitoring’i sıkı tutun
2. kendi npm paketlerinizi kontrol edin
# npm audit çalıştırın
npm audit
# outdated paketlere bakın
npm outdated
# tanstack paketleri kullanıyorsanız güncelleyin
npm update @tanstack/react-query
npm update @tanstack/query-core
3. dependency chain’inizi gözden geçirin
# hangi paketlerin hangi bağımlılıkları kullandığını görün
npm ls
# belirli bir paketi arıyorsanız
npm ls @tanstack/react-query
4. github token’larınızı rotate edin
agalar eğer grafana’nın public repo’larını fork’lamışsanız veya integration’ları varsa:
- github personal access token’larınızı yenileyin
- ssh key’lerinizi rotate edin
- webhook secret’larınızı değiştirin
5. monitoring’i artırın
# github activity'lerinizi kontrol edin
# settings > security > audit log'a bakın
# npm package integrity'sini check edin
npm audit signatures
supply chain saldırılarından korunma
bu olay güzel bir hatırlatma oldu aslında. supply chain attack’ler artık çok yaygın. şunları yapın:
npm için:
# package-lock.json'ı mutlaka commit edin
# subresource integrity kullanın
npm audit --production
# sadece güvenilir registry'lerden çekin
npm config set registry https://registry.npmjs.org/
genel güvenlik:
- dependency’leri düzenli güncelleyin ama test edin
- critical paketler için checksum doğrulaması yapın
- least privilege principle: token’lara minimum yetki verin
- monitoring ve alerting kurun
- incident response planınız olsun
öğrenilen dersler
- hiçbir dependency güvenli değil: tanstack gibi popüler paketler bile hedef olabiliyor
- katmanlı güvenlik şart: grafana’nın müşteri sistemlerini izole etmesi sayesinde hasar sınırlı kaldı
- hızlı response önemli: grafana hemen token’ları iptal edip containment yaptı
- transparency iyi: şirket açık açık ne olduğunu paylaştı
dikkat: kaynak kod sızıntısı demek, potansiyel olarak yeni zafiyetlerin bulunabileceği demek. grafana kullanıyorsanız önümüzdeki haftalarda security update’lere dikkat edin.
kaynaklar
- Grafana Labs Official Statement
- TanStack Security Advisory
- The Hacker News - Original Article
- OWASP Supply Chain Security
arkadaşlar sonuç olarak: müşteri verileri güvende ama kaynak kod sızdı. eğer grafana kullanıyorsanız panik yapmayın ama gözünüz kulağınız açık olsun. npm paketlerinizi güncelleyin, token’larınızı rotate edin, monitoring’i sıkı tutun.
supply chain attack’ler gerçek ve giderek yaygınlaşıyor. sadece kendi kodunuzu değil, kullandığınız her dependency’yi de güvenlik riski olarak görün.
sağlıcakla kalın, güvenli kodlar yazın.
Bu içerik yapay zeka tarafından oluşturulmuştur.