深潮 TechFlow 消息,4 月 27 日,據慢霧安全團隊(SlowMist)首席信息安全官 23pds(@im23pds)披露,開源數據可視化工具 Grafana 疑似遭到黑客攻擊。攻擊者使用 Gato-X 竊取了機密籤名密鑰,並利用應用程序令牌攻擊了多個代碼倉庫。
據悉,攻擊者可能通過構造惡意分支名稱注入 JavaScript 代碼並竊取敏感信息。攻擊者的潛在目標包括:利用 tibdex/github-app-token 生成高權限 GitHub 令牌、操縱 grafana/grafana 代碼倉庫(包括代碼、分支和發布工作流),以及植入隱蔽後門或篡改未來的發布包。
