PANewsは4月27日、SlowMist Technologyの最高情報セキュリティ責任者である23pds氏が、オープンソースのデータ視覚化ツールGrafanaが最近攻撃を受けた疑いがあるとXプラットフォームに投稿したと報じた。攻撃者は Gato-X を使用して機密署名を盗み、App トークンを使用して複数のコード ベースを攻撃しました。このワークフローには潜在的に関連のあるアプリケーション秘密キーがあり、攻撃者は細工したブランチ名を使用して JavaScript コードを挿入し、機密情報を盗んだ疑いがあります。攻撃者がこれらのコードを送信する本当の目的は、次のとおりであると考えられます。1. tibdex/github-app-token を通じて、権限の高い GitHub トークンを生成する。 2. このトークンを使用して、grafana/grafana リポジトリのコード、ブランチ、さらにはリリース プロセスを制御します。 3. 将来的に隠されたバックドア コードをプッシュしたり、特定のバージョンのパッケージを改ざんしたりします。