cordyceps

ChainCatcher 消息，慢雾首席信息安全官 23pds 发文称，研究员曝光了一类名为 Cordyceps 的 CI/CD 高危风险，微软、谷歌、Apache、Cloudflare 等头部企业的开源仓库全都实测中招。攻击者不用企业账号、不用任何系统权限，仅注册一个免费 GitHub 账号，提交一段恶意 PR、留一条评论，就能伪造审批、偷取服务器密钥、推送恶意代码，完全掌控企业代码仓库。