名為 “Cordyceps” 的 CI/CD 高危漏洞曝光，微軟、谷歌等多個頭部企業開源倉庫中招

6 月 25 日（UTC+8），慢霧首席資訊保安官 23pds 發文稱，研究員曝光了一類名為 Cordyceps 的 CI/CD 高危風險，微軟、谷歌、Apache、Cloudflare 等頭部企業的開源倉庫全都實測中招。 攻擊者不用企業賬號、不用任何系統許可權，僅註冊一個免費 GitHub 賬號，提交一段惡意 PR、留一條評論，就能偽造審批、偷取伺服器金鑰、推送惡意程式碼，完全掌控企業程式碼倉庫。 [ChainCatcher]