PANewsは4月28日、オープンソースのデータ視覚化ツールGrafanaが最近の攻撃に対応し、攻撃者がGitHub Actionワークフローを改ざんして限られた数のアクセストークンを盗んだと述べたと報じた。このインシデントは、最近有効になった GitHub Action 構成の脆弱性から発生しました。攻撃者は、リポジトリをフォークし、悪意のある curl コマンドを挿入することで、5 つのプライベート リポジトリから環境変数の抽出に成功しました。これを受けて、Grafana はすべてのパブリック リポジトリ ワークフローを直ちに無効にし、公開されたトークンをローテーションし、Trufflehog などのツールを使用して認証情報の有効期限を確認し、Gato-X を通じて内部ワークフローを監査し、徹底的な調査のために Grafana Loki にアクセス ログを保持しました。現時点では、Grafana の調査では、コードの変更、運用システムへの不正アクセス、顧客データの漏洩、個人情報へのアクセスの証拠は見つかっていません。この攻撃方法は、最近の Mandiant レポートで説明されている「認証情報の潜伏」パターンと一致しています (平均潜伏期間は 11 日)。 Grafanaは、Zizmorなどの検出ツールの必須統合を含むCI/CDセキュリティ対策を強化すると述べた。