cordyceps

ChainCatcher 消息，慢霧首席信息安全官 23pds 發文稱，研究員曝光了一類名為 Cordyceps 的 CI/CD 高危風險，微軟、谷歌、Apache、Cloudflare 等頭部企業的開源倉庫全都實測中招。攻擊者不用企業帳號、不用任何系統權限，僅註冊一個免費 GitHub 帳號，提交一段惡意 PR、留一條評論，就能偽造審批、偷取伺服器密鑰、推送惡意代碼，完全掌控企業代碼倉庫。