慢雾： 开源数据可视化工具 Grafana 疑似遭黑客攻击，攻击者或已植入恶意代码

深潮 TechFlow 消息，4 月 27 日，据慢雾安全团队（SlowMist）首席信息安全官 23pds（@im23pds）披露，开源数据可视化工具 Grafana 疑似遭到黑客攻击。攻击者使用 Gato-X 窃取了机密签名密钥，并利用应用程序令牌攻击了多个代码仓库。

据悉，攻击者可能通过构造恶意分支名称注入 JavaScript 代码并窃取敏感信息。攻击者的潜在目标包括：利用 tibdex/github-app-token 生成高权限 GitHub 令牌、操纵 grafana/grafana 代码仓库（包括代码、分支和发布工作流），以及植入隐蔽后门或篡改未来的发布包。