「Cordyceps」と呼ばれるCI/CDの高危険脆弱性が暴露され、マイクロソフトやグーグルなどの複数の大手企業のオープンソースリポジトリが影響を受けた。

慢雾の最高情報セキュリティ責任者23pdsが発表したところによると、研究者が「Cordyceps」と呼ばれるCI/CDの高リスクを暴露しました。Microsoft、Google、Apache、Cloudflareなどの主要企業のオープンソースリポジトリがすべて実際に被害を受けています。攻撃者は企業アカウントやシステム権限を必要とせず、無料のGitHubアカウントを登録するだけで、悪意のあるPRを提出し、コメントを残すことで承認を偽造し、サーバーキーを盗み、悪意のあるコードをプッシュし、企業のコードリポジトリを完全に掌握することができます。