深潮 TechFlow のニュースによると、4 月 27 日、SlowMist セキュリティチームの最高情報セキュリティ責任者 23pds(@im23pds)は、オープンソースのデータ可視化ツール Grafana がハッカー攻撃を受けた疑いがあると明らかにしました。攻撃者は Gato-X を使用して秘密鍵を盗み、アプリケーショントークンを利用して複数のコードリポジトリを攻撃しました。
報告によると、攻撃者は悪意のあるブランチ名を構築してJavaScriptコードを注入し、機密情報を盗む可能性があります。攻撃者の潜在的なターゲットには、tibdex/github-app-tokenを利用して高権限のGitHubトークンを生成すること、grafana/grafanaコードリポジトリ(コード、ブランチ、リリースワークフローを含む)を操作すること、秘密のバックドアを埋め込むことや今後のリリースパッケージを改ざんすることが含まれます。
