Novee Securityは6月23日、GitHub Actions等のCI/CDワークフローに広く潜む脆弱性クラス「Cordyceps」を公開しました。Microsoft、Google、Apache、Cloudflare、Python Software Foundation など複数組織で実証されており、自由なGitHubアカウントだけで攻撃が成立しうると警告しています。
主なポイント
- 対象は GitHub Actions の workflow に共通する設計上の弱点 (コマンドインジェクション、認証ロジックの破綻、artifact 汚染、権限昇格)
- 攻撃者は組織メンバーである必要すらなく、無料アカウントだけで承認の偽装やコード push、認証情報の窃取が可能とされる
- Novee は約 30,000 リポジトリをスキャンし、単一スキャンで 654 件を抽出。うち 300 以上で完全な攻撃チェーン (任意コード実行や認証情報窃取) を確認
- 実例として Microsoft Azure Sentinel、Google AI Agent Development Kit、Apache Doris、Cloudflare Workers SDK、PSFの Black などで修正が完了
- エージェント駆動のコーディングが普及するなか、同一の弱点が複数リポジトリに「感染」のように再生産されると指摘
出典: Cordyceps: The Silent Parasite Consuming Your Supply Chain