慢霧：Grafana最近疑似遭遇攻擊

PANews 4月27日消息，慢霧科技首席資訊安全官23pds在X平台發文稱，開源資料視覺化工具Grafana最近疑似被攻擊，攻擊者使用Gato-X竊取機密的簽名，用App令牌對多個程式碼庫進行了攻擊。這個工作流程有一個可能相關的應用程式私鑰，疑似攻擊者使用精心設計的分支名稱，注入JavaScript程式碼並竊取機密資訊。看起來攻擊者提交這些程式碼真正目的可能是： 1.透過tibdex/github-app-token產生高權限GitHub Token。 2.用這個Token操控grafana/grafana 倉庫的程式碼、分支甚至發布流程。 3.在未來推送隱蔽後門代碼，或篡改某些版本包。