TechFlow 보도에 따르면, 6월 25일 사이버보안 기업 Novee는 최신 연구에서 ‘Cordyceps’라는 이름의 CI/CD 공급망 취약점 패턴을 발견했다고 밝혔다. 이 패턴은 주로 GitHub Actions 워크플로우 내 명령어 주입, 인증 로직 결함, 아티팩트 오염(artefact poisoning), 권한 상승 등 문제를 포함한다. 보고서는 이러한 취약점을 인증되지 않은 사용자가 특정 조건 하에서 워크플로우 탈취, 자격 증명 탈취 또는 코드 저장소 제어를 실현하는 데 악용할 수 있다고 설명했다.
Novee는 약 3만 개의 영향력이 큰 오픈소스 코드 저장소를 스캔한 결과, 관련 위험을 지닌 저장소 654개를 식별했으며, 이 중 300개 이상이 완전히 악용 가능함을 확인했다. 보고서는 마이크로소프트 Azure Sentinel, 구글 AI 에이전트 개발 키트(Google AI Agent Development Kit) 샘플 저장소, Apache Doris, Cloudflare Workers SDK, Python Black 등 프로젝트를 사례로 제시했다. 또한 연구는 전통적인 보안 도구가 워크플로우 간, 다단계로 구성된 이와 같은 공격 체인을 식별하기 어려운 점을 지적했으며, AI 기반 코드 생성 도구가 불안전한 CI/CD 설정 패턴의 확산을 가속화할 수 있음을 경고했다.
즐겨찾기 추가
소셜 미디어 공유
