TechFlow, 27 avril – Selon les informations divulguées par 23pds (@im23pds), responsable principal de la sécurité chez l'équipe SlowMist, l'outil open source de visualisation de données Grafana aurait été victime d'une attaque. L'attaquant aurait utilisé Gato-X pour dérober des clés de signature confidentielles et compromis plusieurs dépôts de code via un jeton d'application.
Il semblerait que l'attaquant ait pu injecter du code JavaScript malveillant en créant des noms de branches malicieux afin de voler des informations sensibles. Les objectifs potentiels incluent : générer un jeton GitHub à haut niveau de privilèges via tibdex/github-app-token, manipuler le dépôt grafana/grafana (y compris le code, les branches et les flux de publication), ou encore installer une porte dérobée discrète ou altérer les futurs paquets publiés.




