Uma classe de vulnerabilidades apelidada de Cordyceps foi descoberta em pipelines CI/CD do GitHub, permitindo que qualquer usuário sem privilégios sequestre workflows de projetos open source e ganhe controle total sobre repositórios da Microsoft, Google, Apache e Cloudflare. Mais de 300 repositórios de alto impacto foram confirmados como totalmente exploráveis, com risco de execução remota de código, roubo de credenciais e comprometimento da cadeia de suprimentos de software em escala global.

O que é o Cordyceps

Pesquisadores da Novee Security identificaram uma classe sistêmica de vulnerabilidades em pipelines CI/CD que permite a qualquer usuário — sem autenticação especial — sequestrar workflows de projetos open source e ganhar controle total sobre repositórios de empresas como Microsoft, Google, Apache e Cloudflare. A falha foi batizada de Cordyceps, em referência ao fungo parasita que “assume o controle” do corpo do hospedeiro. O código é de 23 de junho de 2026.

Em uma varredura de cerca de 30 mil repositórios de alto impacto nos ecossistemas npm, PyPI, crates e Go, a Novee flagou 654 com o padrão vulnerável e confirmou que mais de 300 estavam totalmente exploráveis — com execução de código controlada pelo atacante, roubo de credenciais e comprometimento direto da cadeia de suprimentos de software. Segundo a pesquisa original da Novee, milhões de repositórios podem estar afetados pelo mesmo padrão.

Como o ataque funciona na prática

O problema central reside em configurações de GitHub Actions que concedem a pull requests (PRs) não confiáveis permissões superiores ao necessário. Um PR é uma proposta de alteração de código — qualquer pessoa com uma conta gratuita no GitHub pode abrir um. Quando esse PR dispara um workflow privilegiado, a porta se abre para injeção de comandos, escalada de privilégios e comprometimento da cadeia de suprimentos.

A mecânica é simples, mas devastadora: um workflow é acionado porque alguém abriu um PR ou deixou um comentário. O workflow trata essa entrada como se tivesse vindo de um mantenedor autorizado e executa ações com as permissões desse mantenedor. Resultado: um outsider com conta gratuita “empresta” a autoridade do projeto por alguns minutos e pode forjar aprovações, injetar código malicioso ou roubar credenciais.

Como aponta o The Hacker News, a vulnerabilidade existe apenas na composição — dados não confiáveis cruzando um limite de confiança que ninguém auditou. Cada peça individual funciona como projetado, mas juntas formam um vetor de ataque completo.

Casos confirmados de exploração

A Novee confirmou exploração em projetos de primeira linha da indústria:

Empresa/Projeto Impacto Confirmado
Microsoft Azure Sentinel Um comentário em PR executa código anônimo no CI da Microsoft e rouba chave GitHub App sem expiração
Google AI Agent Dev Kit Um único PR executa código no CI do Google e concede papel de owner no Google Cloud
Apache Doris Comentário em PR ou PR de fork executa código e exfiltra credenciais CI com write total
Cloudflare Workers SDK PR com branch name manipulado executa comandos arbitrários nos runners CI da Cloudflare
Python Software Foundation (Black) PR de qualquer pessoa rouba token de automação capaz de aprovar PRs como bot oficial

Microsoft e Google confirmaram o impacto. Cloudflare, Python e Apache aplicaram correções e hardening. Conforme a reportagem do SecurityWeek, a exploração dessas vulnerabilidades pode levar a publicação de pacotes maliciosos em NPM, PyPI, Docker Hub e Helm Charts — atingindo milhares de organizações downstream.

IA agrava o problema

Um aspecto que torna o Cordyceps particularmente perigoso é o papel das ferramentas de IA para código. Agentes de programação geram configurações de CI/CD em alta velocidade e reproduzem os mesmos padrões inseguros repetidamente. Conforme a pesquisa da Novee, quando o padrão de exploração foi identificado, as vulnerabilidades começaram a aparecer em ritmo exponencial nos repositórios escaneados.

O problema é que scanners tradicionais de superfície de ataque baseados em inventário não detectam esse tipo de falha — ela exige raciocínio sobre a composição de workflows, não apenas análise individual de arquivos. O código YAML dos workflows é tratado como “configuração” e não como código crítico de segurança, passando despercebido pela maioria das ferramentas.

Risco real para o ecossistema brasileiro

Empresas brasileiras que dependem de pacotes dos ecossistemas afetados — e são praticamente todas as que desenvolvem software — estão expostas indiretamente. Se um pacote no PyPI ou NPM for comprometido via Cordyceps, ele carrega código malicioso para dentro de aplicações em produção sem que nenhum scanner convencional alerte. Isso vale tanto para startups que consomem bibliotecas open source quanto para grandes corporações com pipelines de deployment automatizados.

O caso reforça uma mensagem que muitos times de segurança no Brasil ainda ignoram: segurança de cadeia de suprimentos de software não é problema só de grandes empresas. Qualquer pipeline CI/CD mal configurado é um vetor de entrada.

Como se proteger agora

Para equipes de desenvolvimento e segurança que querem mitigar o risco de padrões como o Cordyceps:

  • Audite workflows CI/CD como código de produção: arquivos YAML do GitHub Actions, GitLab CI e Jenkinsfiles precisam passar por code review de segurança com a mesma rigidez do código da aplicação.
  • Restrinja permissões de PRs: workflows acionados por PRs não confiáveis (de forks ou de colaboradores externos) não devem ter acesso a secrets, permissões de deploy ou tokens de cloud.
  • Implemente o princípio do menor privilégio: cada workflow deve ter apenas as permissões estritamente necessárias, usando GITHUB_TOKEN com escopo mínimo.
  • Revise integrações de IA para código: configurações geradas por agentes de IA demandam auditoria adicional — eles reproduzem padrões sem avaliar implicações de segurança.
  • Monitore anomalias em pipelines: alerte sobre PRs suspeitos de colaboradores novos, branches com nomes manipulados ou execuções de workflow em horários incomuns.

Referências