PANews 4月28日消息,开源数据可视化工具Grafana回复了最近被攻击的情况,称攻击者通过篡改GitHub Action工作流窃取了有限数量的访问令牌。事件源于一个最近启用的GitHub Action配置漏洞,攻击者通过分叉仓库、注入恶意curl命令等手段,成功从五个私有仓库中提取环境变量。作为响应措施,Grafana已立即禁用所有公共仓库工作流并轮换暴露令牌,使用Trufflehog等工具验证凭证失效状态,通过Gato-X工具审计内部工作流,保留Grafana Loki中的访问日志进行完整调查。目前,Grafana的调查没有发现任何代码修改、未经授权访问生产系统、泄露客户数据或访问个人信息的证据。此次攻击手法与Mandiant近期报告描述的“凭证潜伏”模式一致(平均11天潜伏期)。Grafana表示将强化CI/CD安全措施,包括强制集成Zizmor等检测工具。