Grafana GitHub-token incidens
Egy korábbi Grafana GitHub-token incidens vezetett egy későbbi ellátási támadási kísérlethez, amely során a támadók CI/CD hitelesítő adatokat próbáltak felhasználni további fejlesztői infrastruktúrák kompromittálására. A támadás egy hibásan konfigurált GitHub Actions workflow kihasználásával indult, ahol a pull_request_target eseménykezelés lehetővé tette külső forkokból érkező kód futtatását privilegizált tokenekkel.
A támadók speciálisan kialakított branch-nevekkel JavaScript-injektálást hajtottak végre, majd GitHub App tokeneket és egyéb bizalmas adatokat exfiltráltak. Az ellopott hozzáférésekkel később több privát adattárakhoz próbáltak hozzáférni, illetve potenciális ellátási láncv kompromittálásra készültek. A Grafana szerint nem történt kompromittálás vagy ügyféladat-vesztés, ugyanakkor az incidens jól mutatja, hogy a CI/CD környezetek és GitHub kiemelt támadási felületté váltak.
A vizsgálat során a Grafana Labs canary tokenek segítségével észlelte a gyanús aktivitást, majd letiltotta az érintett workflow-kat, rotálta a hitelesítő adatokat és teljes auditot hajtott végre Loki, Trufflehog, Gato-X és Semgrep eszközökkel. A vállalat később megerősítette, hogy az eset felgyorsította a privilege separation, a vault-alapú secretkezelés és a GitHub workflow-biztonság megerősítését célzó belső programokat.
