ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

1 ข่าว

ช่องโหว่รูปแบบใหม่ 'Cordyceps' ใน GitHub Actions — เชนโจมตี CI/CD ที่สแกนเนอร์มองไม่เห็น กระทบ Microsoft, Google, Apache

github actions git github security activestate github actions
นักวิจัยจาก Novee Security เปิดเผยช่องโหว่ CI/CD รูปแบบใหม่ชื่อ Cordyceps เดือนมิถุนายน 2569 หลังสแกน repository กว่า 30,000 แห่ง พบเสี่ยง 654 และยืนยันโจมตีได้จริงกว่า 300 แห่ง ต้นเหตุคือการต่อ workflow ของ GitHub Actions ที่รันโค้ดจาก fork ไม่น่าเชื่อถือพร้อมสิทธิ์เข้าถึง secret ผู้โจมตีเพียงมีบัญชี GitHub ฟรีก็ขโมยโทเคนถาวรได้ กระทบโปรเจกต์ของ Microsoft, Google, Apache และ Cloudflare