Auf den Punkt: Angreifer exploitieren CI/CD-Schwachstellen in etablierten Open-Source-Produkten, um über Pull Requests Code einzuschleusen.
Eine Kampagne namens „Cordyceps" infiltriert populäre Open-Source-Projekte durch gefälschte Pull Requests. Angegriffen werden unter anderem Microsofts Azure Sentinel, Googles AI Agent Development Kit, Apaches Doris-Analytikdatenbank, Cloudflares Workers SDK und die Python Software Foundation Black.
Die Kampagne „Cordyceps” nutzt eine strukturelle Schwachstelle in CI/CD-Workflows aus: bösartige Pull Requests werden in Code-Repositories eingebracht und können, wenn sie ungeprüft merged werden, Malware oder Hintertüren in produktive Systeme gelangen lassen.
Ziele der Angreifer sind hochfrequentierte und weit verbreitete Projekte. Die identifizierten Angriffsziele sind: Microsofts Azure Sentinel (Sicherheits-Monitoring), Googles AI Agent Development Kit, Apaches Doris (analytische Datenbank), Cloudflares Workers SDK (Serverless-Funktionen) und Black (Python-Formatter der Python Software Foundation).
Das Risiko liegt darin, dass kompromittierte Versionen dieser Projekte sich über Abhängigkeitsketten in tausende Downstream-Projekte ausbreiten können. Für CISOs bedeutet dies: Schwachstellen in der Open-Source-Supply-Chain erfordern verschärfte Code-Review-Prozesse, automatisierte Sicherheitsprüfungen in CI/CD-Pipelines und kontinuierliche Überwachung von Abhängigkeitsquellen.
Quelle: www.darkreading.com · Erschienen 23. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.