El 24 de juny de 2026, Elad Meged, investigador de seguretat i cofundador de Novee Security, va publicar l'analisi completa de Cordyceps: una classe sistematica de vulnerabilitats als workflows de GitHub Actions que permet a qualsevol usuari amb un compte gratuit de GitHub, sense permisos especials ni membresía a cap organitzacio, segrestar pipelines CI/CD, robar credencials permanents i comprometre la cadena de subministrament de programari. No es un CVE assignat a una sola eina: es un patro de composicio insegura en el codi de configuracio CI/CD que els escaneadors tradicionals no poden detectar perque, tecnicament, cada fitxer individual esta funcionant com va ser dissenyat.

Que es Cordyceps i que ha revelat la investigacio de Novee Security?

  • Classe de vulnerabilitat, no un CVE unic. Cordyceps descriu un patro sistematic de vulnerabilitats en workflows de GitHub Actions que combina injeccio de comandaments, logica d'autenticacio trencada, cadenes d'emmetzinament d'artefactes i escalada de privilegis entre workflows.
  • Explotable per qualsevol compte gratuit de GitHub. Sense membresía a l'organitzacio. Sense privilegis previs. Un simple comentari en un pull request pot desencadenar la cadena d'explotacio completa.
  • Escala confirmada: dels 30.000 repositoris escanejats, 654 van ser marcats com a potencialment explotables i mes de 300 confirmats com a completament explotables.
  • Microsoft, Google, Apache, Cloudflare i Python Software Foundation van confirmar l'impacte. No hi ha evidencia d'explotacio amplia en produccio abans dels pedacos.
  • Els agents d'IA de codificacio amplien el problema reproduint els mateixos patrons insegurs de forma repetida en milions de repositoris.
  • GitHub va actualitzar actions/checkout el 18 de juny per bloquejar per defecte els patrons pwn request mes comuns.

Per que Cordyceps es diferent d'una vulnerabilitat convencional

  1. El risc existeix nomes en la composicio, no en els fitxers individuals. La vulnerabilitat no esta en cap pas individual: esta en com l'output d'un workflow de baixa privil·legi flueix cap a un workflow d'alta privil·legi.
  2. Els workflows tenen acces a actius d'alt valor: claus de signatura de codi, tokens de publicacio en registres de paquets, claus d'API de proveIdors de nuvol i secrets de desplegament.
  3. L'impacte es de cadena de subministrament, no nomes de repositori. Qualsevol organitzacio que instal·li un paquet compromet aval es converteix en victima potencial.

Els atacs documentats: Microsoft, Google, Apache, Cloudflare i Python

  • Microsoft Azure Sentinel: un comentari en un PR robava una GitHub App key sense data de caducitat amb acces d'escriptura persistent als workspaces de clients.
  • Google AI Agent Development Kit: un unic PR atorgava control autenticat sobre el projecte Google Cloud associat amb el rol maxim (roles/owner).
  • Apache Doris: dos vectors d'atac zero-click confirmats.
  • Cloudflare Workers SDK: un nom de branca especiament construït desencadenava execucio arbitraria de comandaments.
  • Python Black (130 milions d'instal·lacions/mes): qualsevol PR podia robar el token del bot i crear una ruta cap a l'emmetzinament d'imatges Docker oficials.

Com funciona la cadena d'explotacio de Cordyceps

  1. L'atacant crea un PR o comentari des d'un compte gratuit.
  2. Un workflow de baixa privil·legi processa l'input no fiable sense validar-lo correctament.
  3. L'output del workflow de baixa privil·legi creua una frontera de confiança cap a un workflow d'alta privil·legi.
  4. El workflow d'alta privil·legi executa el payload de l'atacant amb les seves credencials.

Lliçons clau i checklist de mitigacio per a equips de desenvolupament

  • Tractar els fitxers de configuracio CI/CD com a codi critic de seguretat.
  • Auditar tots els workflows per inputs no fiables interpolats en comandaments de shell.
  • Validar que les fronteres de confiança entre workflows son explicites i auditades.
  • Actualitzar actions/checkout a la versio mes recent.
  • Rotar tots els tokens i credencials emmagatzemats com a secrets de GitHub Actions.
  • Considerar l'auditoria de CI/CD com a part del scope de pentesting.

La ciberseguretat com a prioritat estrategica

Cordyceps es la culminacio de tres advertencies que el blog d'Apolo ha documentat aquest juny: Claude Code GitHub Action (8 jun), NCSC vibe coding (23 jun) i ara Cordyceps. La mateixa automatitzacio que accelera el desenvolupament i que els agents d'IA generen sense supervisio crea fronteres de confiança no auditades que qualsevol usuari amb un compte gratuit de GitHub pot explotar.

Apolo Cybersecurity: auditoria de seguretat de pipelines CI/CD i revisio de GitHub Actions davant Cordyceps

A Apolo Cybersecurity ajudem organitzacions a avaluar l'exposicio dels seus pipelines CI/CD davant la classe de vulnerabilitats documentades per Cordyceps: identificacio d'inputs no fiables interpolats en comandaments de shell, auditoria de fronteres de confiança entre workflows, revisio de l'estat d'actualitzacio d'actions/checkout, rotacio de credencials i integracio de la revisio de seguretat CI/CD en el proces de pentesting.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity