ثغرة Cordyceps تعرض أكثر من 300 مستودع على GitHub في شركات Microsoft وGoogle وApache لهجمات سلسلة التوريد

كشف باحثو الأمن في شركة Novee Security عن فئة منهجية من ثغرات سير عمل CI/CD، أطلقوا عليها اسم Cordyceps، تعرض أكثر من 300 مستودع على GitHub لهجمات سلسلة التوريد. المنظمات المتأثرة تشمل Microsoft وGoogle وApache وCloudflare وPython Software Foundation وLLVM وOpenHands. لا حاجة إلى صلاحيات تنظيمية: يكفي حساب GitHub مجاني لاستغلال المستودعات المعرضة للخطر.

سُميت الثغرة بهذا الاسم تيمناً بالفطر الطفيلي المعروف بقدرته على السيطرة على مضيفيه. فمثل هذا الفطر، تتسلل Cordyceps بهدوء إلى خطوط تطوير البرمجيات، وتمنح المهاجمين سيطرة على الكود الذي يصل في النهاية إلى المستخدمين النهائيين.

كيف يعمل الهجوم

السبب الجذري هو تكوينات غير صحيحة لسير عمل GitHub Actions، تمنح طلبات السحب (pull requests) صلاحيات أكثر مما ينبغي. عندما يسمح المشرفون بتشغيل pull_request_target أو مشغلات مماثلة دون تقييد الوصول إلى الأسرار (secrets)، يمكن لأي مساهم خارجي فتح PR تنفذ مهام سير العمل بصلاحيات كاملة للمستودع – بما في ذلك القدرة على دفع الكود، وقراءة بيانات اعتماد CI، ونشر الحزم إلى سجلات الحزم.

حددت Novee أربعة أنماط هجومية مميزة عبر المستودعات المتأثرة: حقن الأوامر (command injection) حيث يتم إدراج مدخلات يتحكم بها المهاجم مثل أسماء الفروع أو عناوين PR مباشرة في أوامر shell، وحقن الكود (code injection) حيث تُقيّم بيانات غير موثوقة في وقت التشغيل في سير عمل JavaScript، ومنطق تخويل معطل يفشل بصمت، وتصعيد الصلاحيات عبر سير العمل حيث ينتقل إخراج سير عمل منخفض الصلاحية إلى سير عمل عالي الصلاحية.

نطاق التعرض

فحص الشركة لحوالي 30,000 مستودع عالي التأثير ميّز 654 منها لمزيد من المراجعة، وأكد أن أكثر من 300 منها قابلة للاستغلال بالكامل – مما يعني أن المهاجم يمكنه تنفيذ كود عشوائي في بيئة CI، وسرقة بيانات الاعتماد، والتلاعب بالحزم المنشورة على npm وPyPI وRust crates أو Go modules.

من الأهداف المؤكدة المحددة: مستودعات Microsoft's Azure Sentinel SIEM، ومستودعات عينات Google's AI Agent Development Kit، وApache Doris (قاعدة بيانات تحليلية)، وCloudflare's Workers SDK وWrangler CLI، ومنسق كود Python's Black. يحذر الباحثون من أن الأنماط الأساسية يتم إعادة إنتاجها على نطاق واسع بواسطة أدوات البرمجة المدعومة بالذكاء الاصطناعي، مما قد يؤثر على ملايين المستودعات إلى جانب تلك التي تم تحديدها بالفعل.

الآثار على أمن المصادر المفتوحة

أصبحت هجمات سلسلة التوريد واحدة من أكثر ناقلات التهديد تأثيراً في أمن البرمجيات منذ حوادث SolarWinds وXZ Utils. وتوضح Cordyceps أن سطح الهجوم لا يقتصر على المشرفين الخبيثين أو الحزم المخترقة – بل إن خطوط الأتمتة غير المهيأة بشكل صحيح في أكثر المؤسسات الهندسية تطوراً في العالم تؤدي إلى نفس النتيجة النهائية.

تصف Novee الإصلاح بأنه "مباشر بمجرد أن تعرف أين تبحث"، لكن هذا عزاء بارد لآلاف المشاريع التي لا تعرف بعد أنها معرضة. المنظمات التي تستخدم GitHub Actions يجب أن تراجع صلاحيات مشغلات سير العمل فوراً، وتقيّد الوصول إلى الأسرار في السياقات الموثوقة، وتفحص أي سير عمل يعمل على أحداث طلب سحب غير موثوقة، وفقاً لما نشرته The Hacker News.