ChainCatcher 消息,慢霧首席信息安全官 23pds 發文稱,研究員曝光了一類名為 Cordyceps 的 CI/CD 高危風險,微軟、谷歌、Apache、Cloudflare 等頭部企業的開源倉庫全都實測中招。攻擊者不用企業帳號、不用任何系統權限,僅註冊一個免費 GitHub 帳號,提交一段惡意 PR、留一條評論,就能偽造審批、偷取伺服器密鑰、推送惡意代碼,完全掌控企業代碼倉庫。
