TechFlowの報道によると、4月27日、スローミスト(SlowMist)セキュリティチームの最高情報セキュリティ責任者である23pds(@im23pds)が公開したところ、オープンソースのデータ可視化ツールGrafanaがハッカーによる攻撃を受けた可能性がある。攻撃者はGato-Xを使用して機密署名鍵を窃取し、アプリケーショントークンを利用して複数のコードリポジトリを攻撃した。
報道によれば、攻撃者は悪意のあるブランチ名を構築することでJavaScriptコードを注入し、機微情報を窃取した可能性がある。攻撃者の潜在的な目的には、tibdex/github-app-tokenを利用して高い権限を持つGitHubトークンを生成すること、grafana/grafanaリポジトリのコードやブランチ、リリースワークフローを操作すること、および隠蔽されたバックドアを仕込むことや今後のリリースパッケージを改ざんすることが含まれる。




