PANews 4月27日消息，慢雾科技首席信息安全官23pds在X平台发文称，开源数据可视化工具Grafana最近疑似被攻击，攻击者使用Gato-X窃取机密的签名，用App令牌对多个代码库进行了攻击。这个工作流程有一个可能相关的应用程序私钥，疑似攻击者使用精心设计的分支名称，注入JavaScript代码并窃取机密信息。看起来攻击者提交这些代码真正目的可能是： 1.通过tibdex/github-app-token生成高权限GitHub Token。 2.用这个Token操控 grafana/grafana 仓库的代码、分支甚至发布流程。 3.在未来推送隐蔽后门代码，或者篡改某些版本包。