PANews 4月28日訊息,開源資料視覺化工具Grafana回覆了最近被攻擊的情況,稱攻擊者透過篡改GitHub Action工作流程竊取了有限數量的存取權杖。事件源自於一個最近啟用的GitHub Action配置漏洞,攻擊者透過分叉倉庫、注入惡意curl指令等手段,成功從五個私有倉庫提取環境變數。作為回應措施,Grafana已立即停用所有公共倉庫工作流程並輪換暴露令牌,使用Trufflehog等工具驗證憑證失效狀態,透過Gato-X工具審計內部工作流程,保留Grafana Loki中的存取日誌進行完整調查。目前,Grafana的調查沒有發現任何程式碼修改、未經授權存取生產系統、洩露客戶資料或存取個人資訊的證據。此攻擊手法與Mandiant近期報告所描述的「憑證潛伏」模式一致(平均11天潛伏期)。 Grafana表示將強化CI/CD安全措施,包括強制整合Zizmor等偵測工具。