慢雾: Открытый исходный код инструмент визуализации данных Grafana подозревается в том, что стал жертвой Хакерской атаки, злоумышленники, возможно, уже внедрили вредоносный код
Новости от Deep Tide TechFlow, 27 апреля, по данным главного информационного безопасности команды SlowMist 23pds (@im23pds), подозревается, что открытый исходный код инструмент визуализации данных Grafana подвергся атаке хакеров. Нападающие использовали Gato-X для кражи секретного ключа и атаковали несколько репозиториев кода с помощью токенов приложений.
По имеющимся данным, злоумышленники могут внедрять JavaScript-код и похищать конфиденциальную информацию, создавая вредоносные названия веток. Потенциальные цели злоумышленников включают: использование tibdex/github-app-token для создания высокопривилегированных токенов GitHub, манипуляцию кодовым репозиторием grafana/grafana (включая код, ветки и рабочие процессы релиза), а также внедрение скрытых бэкдоров или изменение будущих пакетов релиза.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
慢雾: Открытый исходный код инструмент визуализации данных Grafana подозревается в том, что стал жертвой Хакерской атаки, злоумышленники, возможно, уже внедрили вредоносный код
Новости от Deep Tide TechFlow, 27 апреля, по данным главного информационного безопасности команды SlowMist 23pds (@im23pds), подозревается, что открытый исходный код инструмент визуализации данных Grafana подвергся атаке хакеров. Нападающие использовали Gato-X для кражи секретного ключа и атаковали несколько репозиториев кода с помощью токенов приложений.
По имеющимся данным, злоумышленники могут внедрять JavaScript-код и похищать конфиденциальную информацию, создавая вредоносные названия веток. Потенциальные цели злоумышленников включают: использование tibdex/github-app-token для создания высокопривилегированных токенов GitHub, манипуляцию кодовым репозиторием grafana/grafana (включая код, ветки и рабочие процессы релиза), а также внедрение скрытых бэкдоров или изменение будущих пакетов релиза.