“Cordyceps”라는 CI/CD 고위험 취약점이 공개되었으며, 마이크로소프트, 구글 등 여러 주요 기업의 오픈 소스 저장소가 피해를 입었습니다

慢雾 수석 정보 보안 책임자 23pds가 발표한 바에 따르면, 연구원이 Cordyceps라는 CI/CD 고위험 위험을 폭로했으며, 마이크로소프트, 구글, 아파치, 클라우드플레어 등 주요 기업의 오픈 소스 저장소가 모두 실험에서 감염되었다. 공격자는 기업 계정이나 시스템 권한 없이 무료 GitHub 계정을 등록하고, 악성 PR을 제출하거나 댓글을 남기기만 하면 승인 위조, 서버 키 도용, 악성 코드 푸시를 통해 기업 코드 저장소를 완전히 장악할 수 있다.