ثغرات “كورديسيبس” في أنظمة CI/CD تكشف أكثر من 300 مستودع على GitHub لهجمات سلاسل التوريد

كشف باحثون في الأمن السيبراني عن نمط خطير من نقاط الضعف في سير عمل CI/CD أطلق عليه اسم Cordyceps من قبل شركة Novee Security. هذه الثغرة تسمح لأي مستخدم غير موثق بالتحكم الكامل في المستودعات، بما في ذلك مستودعات تابعة لكبرى الشركات العالمية مثل Microsoft وGoogle وApache وCloudflare. المشكلة تكمن في منح طلبات الدمج (Pull Requests) صلاحيات واسعة تتجاوز المطلوب، ما يفتح الباب أمام تنفيذ أوامر ضارة، تصعيد الامتيازات، وسرقة بيانات الاعتماد.

حجم التأثير

أظهر فحص أمني شمل نحو 30 ألف مستودع عالي التأثير أن أكثر من 300 مستودع معرض للاستغلال الكامل. هذا يعني أن المهاجمين قادرون على تنفيذ تعليمات برمجية ضارة، سرقة بيانات اعتماد، والسيطرة على سلاسل التوريد البرمجية، وهو ما قد يؤدي إلى تداعيات خطيرة على المستخدمين النهائيين. المثير أن هذه الثغرة لا تحتاج إلى عضوية في المؤسسة أو صلاحيات خاصة؛ مجرد حساب مجاني يكفي لتنفيذ الهجوم.

أمثلة على الاستغلال
  • في مشروع Azure Sentinel التابع لمايكروسوفت، وُجد أن تعليقًا على طلب دمج يمكنه تشغيل تعليمات برمجية مجهولة وسرقة مفتاح تطبيق GitHub غير منتهي الصلاحية.
  • في مشروع Google AI Agent Development Kit، يمكن لطلب دمج بسيط تنفيذ تعليمات برمجية تمنح المهاجم سيطرة كاملة على مستودع سحابة غوغل.
  • في مشروع Apache Doris، يمكن لهجوم “صفر نقرة” عبر تعليق أو طلب دمج من فرع مفصول أن يستخرج بيانات اعتماد حساسة.
  • في Cloudflare Workers SDK، يمكن لاسم فرع مُصاغ بعناية تنفيذ أوامر على خوادم CI الخاصة بالشركة.
  • في مشروع Black التابع لمؤسسة بايثون، يمكن لطلب دمج واحد من أي مستخدم تنفيذ تعليمات برمجية وسرقة رمز الأتمتة.
استجابة الشركات

بعد الإبلاغ المسؤول، أكدت مايكروسوفت وغوغل تأثرهما بالثغرة، بينما قامت كل من Cloudflare وApache ومؤسسة بايثون بتطبيق إجراءات تعزيز وحلول ترقيعية. شركة Novee Security أوضحت أن طبيعة البرمجة الوكيلية (Agentic Coding) تجعل هذه الثغرات قابلة للتكرار على نطاق واسع، ما يشبه “تحريك الدمى” داخل المستودعات الكبرى دون أن يلاحظ أحد، وهو ما يهدد البنية التحتية المفتوحة المصدر التي يعتمد عليها العالم الرقمي.

محمد طاهر
محمد طاهر
المقالات: 1692

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.