Cordyceps: cuando el pipeline de CI/CD se convierte en puerta trasera

El equipo de investigación de Novee Security ha revelado una nueva categoría de debilidades en los flujos de trabajo de integración y entrega continua (CI/CD) que abren la puerta a ataques de cadena de suministro de software. El hallazgo, al que han denominado internamente Cordyceps, no se limita a proyectos menores: los repositorios afectados pertenecen a algunas de las organizaciones tecnológicas más relevantes del mundo, entre ellas Microsoft, Google y la Apache Software Foundation.

¿En qué consiste el patrón Cordyceps?

Cordyceps describe un conjunto de configuraciones erróneas y lógicas débiles presentes en flujos de trabajo de GitHub Actions —y potencialmente extensibles a otras plataformas de CI/CD— que un atacante puede aprovechar para secuestrar la ejecución de pipelines. Una vez que el adversario consigue inyectarse en ese proceso, obtiene capacidad de escritura sobre el código del repositorio, manipulación de artefactos de build o acceso a secretos almacenados en el entorno de ejecución.

El denominador común del patrón es que los flujos de trabajo afectados permiten que contribuciones externas —como pull requests de forks— disparen ejecuciones con permisos excesivos o sin el nivel adecuado de aislamiento. Esto significa que un actor sin privilegios previos puede, en determinadas condiciones, escalar hasta lograr un control total sobre el repositorio.

Escala e impacto potencial

La cifra de más de 300 repositorios identificados ya es llamativa por sí sola, pero el contexto lo hace más preocupante: cuando esos repositorios corresponden a proyectos de infraestructura, bibliotecas ampliamente utilizadas o herramientas de desarrollo integradas en miles de productos derivados, el radio de explosión de un ataque exitoso se multiplica exponencialmente.

Los ataques a la cadena de suministro de software han demostrado en los últimos años —con casos como SolarWinds o xz-utils— que comprometer un único punto del proceso de construcción puede tener consecuencias que se propagan durante meses antes de ser detectadas.

Recomendaciones para equipos de ingeniería y seguridad

  • Revisar los permisos de los workflows: los flujos de trabajo no deben operar con permisos de escritura a menos que sea estrictamente necesario. El principio de mínimo privilegio aplica aquí con especial rigor.
  • Aislar la ejecución de PRs externos: los pull requests procedentes de forks deben ejecutarse en entornos sin acceso a secretos de producción ni permisos elevados.
  • Auditar el uso de acciones de terceros: fijar las acciones a commits específicos (SHA) en lugar de tags mutables reduce el riesgo de que una acción comprometida afecte al pipeline.
  • Implementar revisiones manuales obligatorias para cualquier workflow que requiera permisos elevados y sea activable desde contribuciones externas.

¿Estás cubierto en DefensOps?

Aunque Cordyceps no tiene asignado un CVE específico, las técnicas asociadas a este tipo de ataques —inyección en pipelines, escalada de privilegios en entornos CI/CD y compromisos de cadena de suministro— quedan bajo la supervisión del motor de correlación genérico disponible desde el plan Essential de DefensOps.

El motor de correlación de DefensOps puede detectar patrones de comportamiento anómalos en flujos de trabajo, accesos inusuales a secretos en tiempo de ejecución y actividad sospechosa en integraciones de repositorios, ayudándote a identificar indicios de compromiso antes de que se materialice un daño real en tu cadena de suministro.

¿Quieres saber si tus pipelines están expuestos? Consulta nuestros planes en la página de precios de DefensOps o solicita una demo para ver el motor de correlación en acción sobre tu entorno real.


Fuente: The Hacker News – Cordyceps CI/CD Flaws Expose 300+ GitHub Repositories to Supply-Chain Attacks