PANews는 4월 28일 오픈소스 데이터 시각화 도구인 Grafana가 최근 공격에 대응하여 공격자가 GitHub Action 워크플로를 조작하여 제한된 수의 액세스 토큰을 훔쳤다고 보도했습니다. 이 사고는 최근에 활성화된 GitHub Action 구성 취약점으로 인해 발생했습니다. 공격자는 저장소를 포크하고 악성 curl 명령을 주입하여 5개의 개인 저장소에서 환경 변수를 성공적으로 추출했습니다. 이에 대응하여 Grafana는 모든 공개 저장소 워크플로를 즉시 비활성화하고 노출된 토큰을 순환시켰으며, Trufflehog와 같은 도구를 사용하여 자격 증명 만료를 확인하고, Gato-X를 통해 내부 워크플로를 감사했으며, 전체 조사를 위해 Grafana Loki에 액세스 로그를 보관했습니다. 현재 Grafana의 조사에서는 코드 수정, 프로덕션 시스템에 대한 무단 접근, 고객 데이터 유출 또는 개인 정보 접근에 대한 증거는 발견되지 않았습니다. 공격 방법은 최근 Mandiant 보고서에서 설명한 "자격 증명 잠복" 패턴(평균 11일 잠복 기간)과 일치합니다. Grafana는 Zizmor와 같은 탐지 도구의 필수 통합을 포함하여 CI/CD 보안 조치를 강화할 것이라고 밝혔습니다.
Grafana, 공격에 대응: 조사 결과 코드 변조나 고객 데이터 유출 증거 발견되지 않아
공유 대상:
PANews 공식 계정을 팔로우하고 함께 강세장과 약세장을 탐색해 보세요
추천 읽기
Pioneer's View: 암호화폐 유명인과의 독점 인터뷰
암호화폐 유명인과의 독점 인터뷰, 독특한 관찰과 통찰력 공유
PAData: 데이터의 Web3
데이터 분석, 시각적 보고 산업 핫스팟
Memecoin Supercycle: 주의 토큰화를 둘러싼 과대광고
농담 문화에서 1조 달러 경주까지, Memecoin은 암호화폐 시장의 필수적인 부분이 되었습니다. 이 Memecoin 슈퍼 사이클에서 어떻게 기회를 잡을 수 있을까요?
AI 에이전트: Web3로의 여정
AI Agen 혁신의 물결이 전 세계를 휩쓸고 있습니다. Web3에서 어떻게 뿌리를 내릴까요? 함께 이 모험을 떠나보죠!