Über ein manipuliertes TanStack-npm-Paket der Mini-Shai-Hulud-Kampagne gelangen Angreifer in die CI/CD-Pipeline von Grafana Labs und stehlen den kompletten Quellcode aus GitHub-Repositories. Das Unternehmen lehnt die Lösegeldforderung ab und informiert US-Bundesbehörden. Produktionssysteme und die Grafana-Cloud-Plattform bleiben nach Firmenangaben unberührt.