TechFlow rapporte que, le 25 juin, la société de cybersécurité Novee a révélé dans une nouvelle étude un modèle de vulnérabilité dans la chaîne d’approvisionnement CI/CD baptisé « Cordyceps », qui concerne principalement des problèmes tels que l’injection de commandes, des défauts logiques d’authentification, la contamination d’artefacts et l’élévation de privilèges au sein des workflows GitHub Actions. Selon le rapport, ces vulnérabilités peuvent être exploitées par des utilisateurs non authentifiés pour, dans certaines conditions, s’emparer d’un workflow, voler des identifiants ou prendre le contrôle d’un dépôt de code.
Novee indique avoir analysé environ 30 000 dépôts open source à fort impact et avoir identifié 654 dépôts présentant des risques associés, dont plus de 300 se sont avérés entièrement exploitables. Le rapport cite notamment comme exemples les dépôts suivants : Azure Sentinel de Microsoft, le kit de développement d’agents IA de Google, Apache Doris, le SDK Cloudflare Workers et Python Black. L’étude souligne également que les outils de sécurité traditionnels peinent à détecter ce type d’attaques complexes, impliquant plusieurs workflows et plusieurs étapes, et que les outils de génération de code basés sur l’intelligence artificielle pourraient accélérer la propagation de configurations CI/CD non sécurisées.
