PDA

Просмотр полной версии : Уязвимости Cordyceps в CI/CD процессах подвергают более 300 репозиториев GitHub риску атак на цепочку поставок


AntichatNews
25.06.2026, 09:00
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjl_D6QzBWfQRZAXbjo9RhhLXSedzJR2Q2sUQoQYnDxpC 7yETzJgn3KnpT8CcoqlfXdqkcnTCNcEpR1QKphy77NvG_9PIO5 7hHNF27x8pBb1pLf_4n3A6pTBs3qXQMsz81rvzpGIOqHZn7Vqv JoJoB98o7COHOxi5wfkQvxhL4LcOxBkziY4MLxVCEOljX8/s1700-e365/1000085115.jpg

Исследователи в области кибербезопасности выявили новый класс уязвимостей в CI/CD (непрерывной интеграции и непрерывной доставке), которые позволяют злоумышленникам захватывать рабочие процессы и компрометировать цепочки поставок в открытом исходном коде. Эта "критически уязвимая модель" получила кодовое название Cordyceps и была обнаружена компанией Novee Security.

Уязвимость может предоставить злоумышленникам полный контроль над репозиториями более 300 организаций по всему миру, включая такие крупные компании, как Microsoft, Google и Apache. Это создает серьезные риски для безопасности, так как злоумышленники могут внедрять вредоносный код в проекты, что может привести к масштабным атакам на пользователей и компании.

Исследование показало, что уязвимости Cordyceps позволяют манипулировать CI/CD рабочими процессами, что может привести к изменению кода, который затем развертывается в продуктивной среде. Это подчеркивает важность защиты этих процессов от несанкционированного доступа.

Специалисты рекомендуют организациям пересмотреть свои механизмы безопасности, связанные с CI/CD, и внедрить дополнительные меры защиты, включая аудит прав доступа и мониторинг активности в репозиториях.

В условиях растущих угроз кибербезопасности компании должны быть особенно внимательны к вопросам безопасности своих цепочек поставок, особенно в свете недавних атак на открытые проекты, которые уже привели к значительным последствиям. Уязвимость Cordyceps служит напоминанием о необходимости постоянного мониторинга и укрепления безопасности в области разработки программного обеспечения.

Источник новости:
The Hacker News (https://thehackernews.com/2026/06/cordyceps-cicd-flaws-expose-300-github.html)

Читать полностью (https://thehackernews.com/2026/06/cordyceps-cicd-flaws-expose-300-github.html)