据慢雾首席信息安全官@im23pds 发布的安全警报，开源数据可视化工具 Grafana 疑似遭到攻击。攻击者利用 Gato-X 窃取签名密钥，并通过滥用应用程序令牌入侵多个代码库。初步分析显示，攻击者可能通过伪造恶意分支名称注入 JavaScript 代码以窃取敏感信息，目标包括使用 tibdex/github-app-token 生成高权限 GitHub 令牌、篡改 grafana/grafana 仓库及植入隐蔽后门。慢雾提醒用户保持警惕。