Согласно PANews, был сообщен о потенциальной утечке безопасности, связанной с инструментом визуализации данных с открытым исходным кодом Grafana. Директор по информационной безопасности компании SlowMist Technology, известный как 23pds, поделился на платформе X, что злоумышленники могли использовать уязвимость Gato-X для кражи конфиденциальных подписей и атаки на несколько кодовых репозиториев с использованием токенов приложений.
Сообщается, что рассматриваемый рабочий процесс включает, возможно, связанный с ним закрытый ключ приложения. Подозреваемые злоумышленники, предположительно, использовали тщательно продуманные имена веток для внедрения JavaScript-кода и кражи конфиденциальной информации. Основные цели этих кодовых отправок, по-видимому, заключаются в генерации токенов GitHub с высокими привилегиями через tibdex/github-app-token, манипуляции кодом, ветками и даже процессом выпуска репозитория grafana/grafana, а также потенциальной отправке скрытых кодов обратного доступа или вмешательстве в определенные версии пакетов в будущем.