Un actor malicioso logró infiltrarse en el entorno GitHub de Grafana Labs mediante la obtención de un token privilegiado. Esta vulnerabilidad, originada por una mala configuración en un flujo de trabajo de GitHub Actions, permitió al atacante descargar el código privado de la empresa, generando un riesgo serio para la cadena de suministro del software. La detección se activó gracias a un token canario implementado en los repositorios, alertando al equipo global de seguridad.
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| Grafana Labs | Grafana | Entorno GitHub y GitHub Actions (workflow pull_request_target) |
Solución
Invalidar inmediatamente los tokens comprometidos, eliminar el GitHub Action vulnerable y desactivar todos los workflows inseguros en los repositorios afectados.
Recomendaciones
Priorizar la revisión y restricción de accesos mediante workflows CI/CD, asegurar la correcta configuración de eventos para evitar filtraciones de secretos y mantener activa la monitorización con mecanismos como tokens canarios para detección temprana.