TechFlow tin tức, ngày 27 tháng 4, theo tiết lộ của chuyên gia an ninh thông tin trưởng đội SlowMist 23pds (@im23pds), công cụ mã nguồn mở trực quan hóa dữ liệu Grafana nghi bị tin tặc tấn công. Kẻ tấn công đã sử dụng Gato-X để đánh cắp khóa ký bí mật và lợi dụng mã thông báo ứng dụng để tấn công nhiều kho mã nguồn.
Theo thông tin, kẻ tấn công có thể đã chèn mã JavaScript độc hại thông qua việc tạo tên nhánh ác ý nhằm đánh cắp thông tin nhạy cảm. Các mục tiêu tiềm năng của kẻ tấn công bao gồm: sử dụng tibdex/github-app-token để tạo mã thông báo GitHub có quyền hạn cao, thao túng kho mã nguồn grafana/grafana (bao gồm mã nguồn, nhánh và quy trình phát hành), cũng như cài cắm cửa hậu ẩn hoặc làm sai lệch các gói phát hành trong tương lai.




