Menurut PANews, potensi pelanggaran keamanan telah dilaporkan yang melibatkan alat visualisasi data sumber terbuka Grafana. Chief Information Security Officer dari SlowMist Technology, yang dikenal sebagai 23pds, membagikan di platform X bahwa penyerang mungkin telah menggunakan eksploitasi Gato-X untuk mencuri tanda tangan rahasia dan menyerang beberapa repositori kode menggunakan token aplikasi.
Alur kerja yang dipertanyakan dilaporkan melibatkan kemungkinan aplikasi kunci pribadi yang terkait. Pelaku yang dicurigai diduga menggunakan nama cabang yang dirancang dengan hati-hati untuk menyuntikkan kode JavaScript dan mencuri informasi sensitif. Tujuan utama dari pengajuan kode ini tampaknya adalah untuk menghasilkan token GitHub dengan hak istimewa tinggi melalui tibdex/github-app-token, memanipulasi kode, cabang, dan bahkan proses rilis dari repositori grafana/grafana, serta berpotensi mendorong kode pintu belakang yang disembunyikan atau mengubah paket versi tertentu di masa depan.