Falha no Grafana causada por rotação de token não realizada após ataque ao TanStack

A falha de segurança no Grafana foi rastreada a um único token de GitHub workflow que não foi rotacionado durante a resposta ao incidente após a campanha Shai-Hulud (atribuída ao TeamPCP). Esta campanha envenenou dezenas de pacotes npm do TanStack com código de roubo de credenciais que o CI/CD do Grafana consumiu em 1º de maio, permitindo que atacantes acessassem repositórios privados e roubassem código-fonte e dados de contato comercial. No entanto, o Grafana confirma que nenhum sistema de produção de clientes foi afetado e que sua base de código não foi modificada.