欧易数字货币Web3的直通车

2025年4月28日，开源数据可视化工具Grafana在近日的一份声明中详细回应了其GitHub Action工作流遭遇攻击的情况。攻击者通过利用GitHub Action配置中的漏洞，成功篡改工作流并窃取了有限数量的访问令牌。这一事件揭示了在GitHub Action的工作流配置中存在安全漏洞，攻击者通过分叉仓库、注入恶意curl命令等手段，从多个私有仓库中提取了环境变量。

此次攻击的源头是一个最近启用的GitHub Action配置漏洞，攻击者能够绕过正常的安全措施，成功侵入系统并提取机密信息。Grafana团队表示，受影响的仅是少数几个私有仓库，并且通过该手段窃取的数据仅限于环境变量。这些环境变量包含了访问令牌，虽然敏感，但不涉及代码修改或对生产系统的直接攻击。

作为应对措施，Grafana采取了紧急响应行动。首先，他们立即禁用了所有公共仓库的工作流，并对暴露的令牌进行了轮换处理。为了确保泄露风险被降到最低，Grafana使用了Trufflehog等工具对凭证的失效状态进行了验证，并通过Gato-X工具对内部工作流进行了审计。除此之外，Grafana还保留了Grafana Loki中的访问日志，以便进行彻底调查。

目前，Grafana方面表示，经过调查，尚未发现任何代码修改、未经授权访问生产系统、泄露客户数据或访问个人信息的证据。攻击手法与Mandiant最近发布的关于“凭证潜伏”模式的报告一致，该模式通常在潜伏期内默默进行攻击，平均潜伏期为11天。Grafana强调，虽然本次攻击并未导致重大安全漏洞或数据泄露，但该事件仍为他们敲响了警钟。

为进一步加强系统安全，Grafana表示将在未来对其CI/CD流程进行强化，特别是将集成更多的检测工具，例如Zizmor，以增强安全防护。团队还计划审查和优化其工作流配置，确保类似漏洞不会再次发生。

此次事件再次凸显了开源项目和开发团队在使用自动化工作流时必须加强安全意识，特别是在处理敏感数据和密钥时。Grafana的快速响应和透明的调查过程为其他技术公司提供了一个处理类似安全事件的参考模式。随着开源社区和企业对安全的重视，未来这些工具和工作流的安全性有望得到持续改进。