PANews 4月28日消息，开源数据可视化工具Grafana回复了最近被攻击的情况，称攻击者通过篡改GitHub Action工作流窃取了有限数量的访问令牌。事件源于一个最近启用的GitHub Action配置漏洞，攻击者通过分叉仓库、注入恶意curl命令等手段，成功从五个私有仓库中提取环境变量。作为响应措施，Grafana已立即禁用所有公共仓库工作流并轮换暴露令牌，使用Trufflehog等工具验证凭证失效状态，通过Gato-X工具审计内部工作流，保留Grafana Loki中的访问日志进行完整调查。目前，Grafana的调查没有发现任何代码修改、未经授权访问生产系统、泄露客户数据或访问个人信息的证据。此次攻击手法与Mandiant近期报告描述的“凭证潜伏”模式一致（平均11天潜伏期）。Grafana表示将强化CI/CD安全措施，包括强制集成Zizmor等检测工具。