📅 24 Haz 2026 · 📰 Novee Security / The Hacker News · 🎯 GitHub Actions kullanan tüm organizasyonlar (geniş) · TLP:WHITE
Novee Security araştırmacıları, GitHub Actions workflow'larında bulunan yeni saldırı sınıfını 'Cordyceps' kod adıyla yayımladı. Pattern: kötü niyetli pull request veya workflow trigger ile workflow secrets erişimi → supply chain compromise zinciri.
Etkilenen 300+ aktif GitHub reposu tespit edildi. Saldırgan PR'ın workflow'ı çalıştırıp 3rd-party action'a secrets geçirmesini sağlayarak hedef projenin npm/PyPI/Maven paketlerine zararlı kod enjekte edebiliyor.
Saldırı kalıbı 3 adımda: (1) Hedef repoya benign görünen PR aç (örn. typo fix, dokümantasyon güncelleme); (2) Workflow trigger'da imzasız bir 3rd-party action'a secrets pass et (uses: random/action@main); (3) Action içindeki kod secrets'i çalıp pakete malicious payload enjekte et veya publish credential'larıyla kötü versiyon yayımla.
Risk geliştirme/CI ekipleri için: imzasız (uses: vendor/action@main veya @v1 mutable tag) Actions çağrılarının pinned commit SHA'ya (@a1b2c3...) çevrilmesi savunma için kritik.