نقض دادهی Grafana؛ یک توکن فراموششده کافی بود
نقض دادهی Grafana از یک توکن GitHub فراموششده سرچشمه گرفت که بعد از حملهی زنجیره تأمین npm به نام TanStack، در فرایند چرخش توکنها دیده نشد. مهاجمان از این توکن برای دسترسی به مخازن خصوصی Grafana و سرقت سورس کد و اطلاعات تجاری استفاده کردند. Grafana تأکید میکنه که سیستمهای تولید مشتریان دستنخورده موندن و کدبیس تغییری نداشته.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
حملهای که به نقض دادهی Grafana منجر شد از یک کمپین بدافزاری به نام Shai-Hulud شروع شد؛ کمپینی که گروه هکری TeamPCP پشتش بوده. در این کمپین، دهها پکیج npm از مجموعهی TanStack آلوده به کد سرقت اطلاعات شدن و روی ایندکس npm منتشر شدن. وقتی Grafana در پایپلاین CI/CD خودش از این پکیجهای مخرب استفاده کرد، ماژول info-stealer اجرا شد و توکنهای GitHub workflow رو به مهاجمان فرستاد.
Grafana میگه اول ماه مه فعالیت مخرب رو شناسایی کرد و بلافاصله پلن واکنش به حادثه رو اجرا کرد که شامل چرخش (rotation) تعداد زیادی از توکنهای GitHub workflow میشد. اما یک توکن در این فرایند از قلم افتاد؛ همین یک توکن کافی بود تا مهاجمان راهی به مخازن خصوصی شرکت پیدا کنن.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
