Theo PANews, một sự cố bảo mật tiềm tàng đã được báo cáo liên quan đến công cụ trực quan hóa dữ liệu mã nguồn mở Grafana. Giám đốc Bảo mật Thông tin của Công ty SlowMist Technology, được biết đến với tên gọi 23pds, đã chia sẻ trên nền tảng X rằng những kẻ tấn công có thể đã sử dụng lỗ hổng Gato-X để đánh cắp chữ ký bí mật và tấn công nhiều kho mã sử dụng token ứng dụng.
Quy trình làm việc được đề cập được cho là liên quan đến một khóa bí mật ứng dụng có thể liên quan. Những kẻ tấn công nghi ngờ đã sử dụng các tên nhánh được chế tạo cẩn thận để tiêm mã JavaScript và đánh cắp thông tin nhạy cảm. Các mục tiêu chính của những lần gửi mã này dường như là tạo ra các token GitHub có quyền cao thông qua tibdex/github-app-token, thao tác với mã, nhánh, và thậm chí là quy trình phát hành của kho lưu trữ grafana/grafana, và có khả năng đẩy mã giấu kín hoặc can thiệp vào một số gói phiên bản trong tương lai.