TechFlow đưa tin, ngày 25 tháng 6, công ty an ninh mạng Novee trong báo cáo nghiên cứu mới nhất cho biết đã phát hiện một mẫu lỗ hổng chuỗi cung ứng CI/CD mang tên “Cordyceps”, chủ yếu liên quan đến các vấn đề như tiêm lệnh trong quy trình làm việc GitHub Actions, lỗi logic xác thực, đầu độc sản phẩm (artifacts) và leo thang đặc quyền. Báo cáo nêu rõ, các lỗ hổng dạng này có thể bị khai thác bởi người dùng chưa được xác thực để chiếm quyền điều khiển quy trình làm việc, đánh cắp thông tin xác thực hoặc kiểm soát kho mã nguồn—trong những điều kiện cụ thể.
Novee cho biết, sau khi quét khoảng 30.000 kho mã nguồn mở có ảnh hưởng cao, công ty đã xác định 654 kho có rủi ro liên quan, trong đó hơn 300 kho đã được xác nhận có thể bị khai thác hoàn toàn. Báo cáo dẫn ra một số dự án tiêu biểu như Azure Sentinel của Microsoft, kho ví dụ về Bộ công cụ phát triển Agent AI của Google, Apache Doris, SDK Cloudflare Workers và Python Black. Nghiên cứu cũng chỉ ra rằng các công cụ bảo mật truyền thống gặp khó khăn trong việc phát hiện chuỗi tấn công dạng này—vốn trải rộng qua nhiều quy trình làm việc và gồm nhiều bước—trong khi các công cụ sinh mã bằng AI có thể làm gia tăng tốc độ lan truyền các cấu hình CI/CD không an toàn.
