ช่องโหว่ CI/CD 'Cordyceps' เปิดทาง supply-chain attack — กระทบ 300+ repo GitHub ของ Microsoft, Google, Apache, Cloudflare

นักวิจัย Novee Security เปิดโปงช่องโหว่ workflow CI/CD รูปแบบใหม่ชื่อ Cordyceps ที่เปิดทางให้ผู้โจมตียึด workflow และเจาะ open-source supply chain ได้ จากการสแกน repo สำคัญ 30,000 แห่ง พบกว่า 300 แห่งถูกเจาะได้เต็มรูปแบบ รวมถึง repo ของ Microsoft, Google, Apache และ Cloudflare ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตนและมีบัญชีฟรีก็สามารถปลอมการอนุมัติ push โค้ด หรือขโมย credential ได้

