⚠️ Des millions de dépôts #Github pourraient être en danger.
➥ Des chercheurs en sécurité ont découvert une faille critique connue sous le nom de Cordyceps, qui touche des milliers de projets open source, y compris des dépôts appartenant à de grandes entreprises telles que #Microsoft et #Google , ainsi qu’à Apache Software Foundation et Cloudflare, et bien d’autres.
➥ La faille permet aux attaquants de cibler les systèmes CI/CD (intégration et livraison continues), ce qui peut entraîner :
l’exécution de codes malveillants.
le vol d’identifiants et de clés secrètes.
la manipulation des processus de build et de déploiement.
l’insertion de mises à jour malveillantes dans les chaînes d’approvisionnement logicielles (Software #Supply #Chain ).
➥ Les chercheurs ont analysé quelque 30 000 dépôts populaires et ont trouvé 654 projets susceptibles d’être affectés par la faille, en confirmant la possibilité d’une exploitation concrète dans plus de 300 projets.
➥ Le danger du problème tient au fait qu’il n’est pas lié à un fichier ou à une bibliothèque spécifique, mais qu’il résulte de l’interaction entre plusieurs opérations au sein des environnements CI/CD, ce qui élargit considérablement le périmètre d’impact et pourrait s’étendre à des millions de dépôts.
➥ Selon les chercheurs, la plupart des outils de protection traditionnels pourraient ne pas être en mesure de détecter ce type d’attaques, car le comportement malveillant provient de la séquence d’actions et du mécanisme d’exécution lui-même, plutôt que de la présence d’un code malveillant clairement identifiable dans le projet.
➥ Des chercheurs en sécurité ont découvert une faille critique connue sous le nom de Cordyceps, qui touche des milliers de projets open source, y compris des dépôts appartenant à de grandes entreprises telles que #Microsoft et #Google , ainsi qu’à Apache Software Foundation et Cloudflare, et bien d’autres.
➥ La faille permet aux attaquants de cibler les systèmes CI/CD (intégration et livraison continues), ce qui peut entraîner :
l’exécution de codes malveillants.
le vol d’identifiants et de clés secrètes.
la manipulation des processus de build et de déploiement.
l’insertion de mises à jour malveillantes dans les chaînes d’approvisionnement logicielles (Software #Supply #Chain ).
➥ Les chercheurs ont analysé quelque 30 000 dépôts populaires et ont trouvé 654 projets susceptibles d’être affectés par la faille, en confirmant la possibilité d’une exploitation concrète dans plus de 300 projets.
➥ Le danger du problème tient au fait qu’il n’est pas lié à un fichier ou à une bibliothèque spécifique, mais qu’il résulte de l’interaction entre plusieurs opérations au sein des environnements CI/CD, ce qui élargit considérablement le périmètre d’impact et pourrait s’étendre à des millions de dépôts.
➥ Selon les chercheurs, la plupart des outils de protection traditionnels pourraient ne pas être en mesure de détecter ce type d’attaques, car le comportement malveillant provient de la séquence d’actions et du mécanisme d’exécution lui-même, plutôt que de la présence d’un code malveillant clairement identifiable dans le projet.