慢霧：Grafana疑遭攻擊，攻擊者或已竊取私鑰並植入惡意程式碼

Odaily星球日報訊 根據慢霧首席資訊安全長@im23pds 發布的安全警報，開源資料視覺化工具Grafana 疑似遭到攻擊。攻擊者利用Gato-X 竊取簽署金鑰，並透過濫用應用程式令牌入侵多個程式碼庫。初步分析顯示，攻擊者可能透過偽造惡意分支名稱注入JavaScript 程式碼以竊取敏感訊息，目標包括使用tibdex/github-app-token 產生高權限GitHub 令牌、篡改grafana/grafana 倉庫及植入隱蔽後門。慢霧提醒用戶保持警覺。