Ngày 28 tháng 4, công cụ mã nguồn mở Grafana đã lên tiếng sau cuộc tấn công gần đây, cho biết kẻ tấn công đã lấy một số lượng giới hạn mã truy cập thông qua việc thay đổi workflow của GitHub Action. Vấn đề phát sinh từ lỗ hổng trong cấu hình của GitHub Action mới được kích hoạt. Kẻ tấn công đã trích xuất biến môi trường từ năm kho lưu trữ cá nhân bằng cách fork kho lưu trữ và chèn lệnh curl độc hại.
Để phản ứng, Grafana đã vô hiệu hóa tất cả workflow của kho công khai, thay đổi mã bị lộ, sử dụng công cụ như Trufflehog để kiểm tra trạng thái của thông tin đăng nhập, kiểm toán các workflow nội bộ bằng công cụ Gato-X và lưu trữ nhật ký truy cập trên Grafana Loki để điều tra toàn diện. Hiện tại, Grafana chưa phát hiện bằng chứng về sự thay đổi mã, truy cập trái phép vào hệ thống sản xuất, rò rỉ dữ liệu khách hàng hoặc truy cập thông tin cá nhân.
Phương pháp tấn công phù hợp với mô hình “credential lurking” được mô tả trong báo cáo gần đây của Mandiant (thời gian ủ bệnh trung bình 11 ngày). Grafana khẳng định sẽ củng cố biện pháp bảo mật CI/CD, bao gồm việc tích hợp bắt buộc các công cụ phát hiện như Zizmor.
