O Mitrade Insights dedica-se a fornecer aos investidores informações financeiras ricas, oportunas e valiosas para ajudá-los a entender a situação do mercado e encontrar oportunidades de negociação oportunas.

2021

Melhor Provedor de Notícias e Análise

FxDailyInfo

2022

Melhores Recursos Educacionais de Forex Global

International Business Magazine

Insights

Notícias

Criptomoedas

Falhas no Cordyceps permitem que qualquer pessoa com uma conta gratuita no GitHub sequestre pipelines de CI/CD na Microsoft, Google e Apache

Fonte Cryptopolitan

A empresa de segurança Novee revelou que o Cordyceps é uma classe de vulnerabilidades exploráveis em CI/CD em repositórios de código aberto, que permitiu que invasores roubassemdent, enviassem código malicioso e comprometessem as operações de algumas das maiores organizações de software do mundo.

Essas vulnerabilidades foram encontradas em repositórios pertencentes à Microsoft, Google, Apache, Cloudflare e à Python Software Foundation, empresas que também afirmaram tê-las corrigido.

Qual é a vulnerabilidade do Cordyceps?

A empresa de segurança Novee descobriu uma nova e perigosa classe de vulnerabilidades em pipelines de CI/CD, que denominou "Cordyceps". O nome "Cordyceps" vem de um fungo parasita que se apodera de seu hospedeiro, pois essa falha permite que qualquer pessoa com uma conta gratuita no GitHub assuma o controle de projetos populares de código aberto.

As vulnerabilidades foram descobertas em repositórios pertencentes à Microsoft, Google, Apache, Cloudflare e à Python Software Foundation. Uma única varredura de 30.000 repositórios revelou 300 cadeias de ataque totalmente exploráveis.

Os atacantes conseguem roubardent, injetar código malicioso e comprometer as cadeias de suprimentos de software por meio dessas vulnerabilidades. Os problemas foram corrigidos, mas os pesquisadores alertam que os assistentes de codificação de IA continuarão a reproduzi-los em milhões de repositórios.

Os fluxos de trabalho do GitHub Actions lidam com tarefas importantes, como executar testes, compilar software e publicar versões, mas geralmente são tratados como simples arquivos de configuração em vez de código crítico para a segurança.

A cadeia de ataque geralmente começa quando um agente externo, que pode ser qualquer pessoa com uma conta gratuita no GitHub, envia uma solicitação de pull request ou deixa um comentário em um repositório público. Um fluxo de trabalho com privilégios reduzidos, que aceita a contribuição do agente externo como se fossem dados confiáveis, é então ativado.

A partir daí, o fluxo de saída segue para um segundo fluxo de trabalho executado com permissões elevadas. Esse segundo fluxo de trabalho pode conter tokens de autenticação do provedor de nuvem,dentdo registro de pacotes ou chaves de assinatura. Nesse ponto, o invasor pode roubar tokens que não expiram ou comprometer permanentemente o repositório.

Segundo pesquisadores de segurança, cada etapa individual nessas cadeias pode passar por uma auditoria de segurança por si só. A vulnerabilidade só aparece quando alguém traco caminho de dados não confiáveis ao longo de toda a sequência de transferências do fluxo de trabalho.

Quais grandes empresas foram afetadas pela vulnerabilidade?

A Novee encontrou e relatou vulnerabilidades confirmadas em algumas das maiores organizações de tecnologia do mundo.

O Azure Sentinel da Microsoft, por exemplo, continha um comentário em uma solicitação de pull request que poderia desencadear a execução de código malicioso na infraestrutura de CI da Microsoft e roubar uma chave de aplicativo do GitHub que não expira. Essa chave teria concedido acesso de gravação persistente ao conteúdo de detecção de segurança que a Microsoft distribui para os espaços de trabalho do Sentinel dos clientes.

O repositório do Kit de Desenvolvimento de Agentes de IA do Google, com mais de 9.200 estrelas no GitHub, tinha uma falha em que uma única solicitação de pull request poderia permitir que um invasor obtivesse o nível de permissão mais alto (funções/proprietário) no projeto associado do Google Cloud.

No banco de dados Doris Analytics da Apache, pesquisadores encontraram duas vias de ataque sem cliques. Uma permitia que um comentário em qualquer solicitação de pull roubassedentde CI embutidas no código, enquanto a outra permitia que uma solicitação de pull bifurcada roubasse um token com permissões totais de gravação em todo o código, pacotes e páginas.

O SDK Workers da Cloudflare, construído em torno do conjunto de ferramentas Wrangler CLI, era vulnerável à execução de comandos arbitrários acionada por um nome de branch especialmente criado.

O formatador de código Black da Python Software Foundation, que possui mais de 130 milhões de downloads, tinha uma falha que permitia que qualquer solicitação de pull request roubasse o token do bot de automação do projeto, que então podia aprovar outras solicitações de pull request.

Novee confirmou ao Dark Reading que nenhum desses padrões de fluxo de trabalho foi explorado antes da aplicação das correções.

Meged recomenda que os CISOs tratem os arquivos de fluxo de trabalho CI/CD como código crítico para a segurança.

Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.

Isenção de responsabilidade: Apenas para fins informativos. O desempenho passado não é indicativo de resultados futuros.

Artigos Recomendados

Metais preciosos sofrem ‘terça-feira negra’: ouro spot cai abaixo de US$ 4.100 e prata despenca 5%O ouro e a prata despencaram com o dólar forte, as expectativas de alta de juros pelo Fed e a queda da demanda por refúgio, mas o aumento das posições do SPDR e dos comprados líquidos da CFTC sugere compras por capital de longo prazo.

Autor TradingKey

6 Mês 23 Dia Ter

O ouro e a prata despencaram com o dólar forte, as expectativas de alta de juros pelo Fed e a queda da demanda por refúgio, mas o aumento das posições do SPDR e dos comprados líquidos da CFTC sugere compras por capital de longo prazo.

Índice Dólar avança acima de 101,50 apesar de RSI em sobrecompra O Índice Dólar avançou acima de 101,50 com o aumento das expectativas de alta de juros nos EUA e o tom hawkish do Fed, mas o RSI em sobrecompra sugere risco de correção no curto prazo.

Autor FXStreet

Ontem 07: 48

O Índice Dólar avançou acima de 101,50 com o aumento das expectativas de alta de juros nos EUA e o tom hawkish do Fed, mas o RSI em sobrecompra sugere risco de correção no curto prazo.

Bitcoin segue pressionado enquanto demanda institucional por BTC permanece fraca O Bitcoin segue pressionado perto de US$ 62.700 devido às saídas de ETFs spot, à fraca demanda institucional e à atividade reduzida na CME, enquanto indicadores técnicos mantêm o viés baixista.

Autor FXStreet

Ontem 11: 22

O Bitcoin segue pressionado perto de US$ 62.700 devido às saídas de ETFs spot, à fraca demanda institucional e à atividade reduzida na CME, enquanto indicadores técnicos mantêm o viés baixista.

O ouro mantém viés baixista próximo das mínimas de novembro de 2025, com mercado atento ao PCE dos EUA em meio à redução das apostas de alta de juros do Fed O ouro (XAU/USD) recebe nova pressão vendedora na sessão asiática desta quinta-feira e recua até o menor patamar registrado desde novembro de 2025, nível alcançado no pregão anterior.

Autor FXStreet

7 horas atrás

O ouro (XAU/USD) recebe nova pressão vendedora na sessão asiática desta quinta-feira e recua até o menor patamar registrado desde novembro de 2025, nível alcançado no pregão anterior.

Prata ronda mínimas de sete meses perto de US$ 57 com inflação dos EUA no radar A prata caiu para mínimas de sete meses perto de US$ 57, pressionada pelas expectativas de alta de juros do Fed e pela atenção ao PCE dos EUA, embora sinais de sobrevenda indiquem possível correção no curto prazo.

Autor FXStreet

6 horas atrás

A prata caiu para mínimas de sete meses perto de US$ 57, pressionada pelas expectativas de alta de juros do Fed e pela atenção ao PCE dos EUA, embora sinais de sobrevenda indiquem possível correção no curto prazo.

Tipos populares