« Cordyceps » : une faille CI/CD systémique expose 300+ dépôts majeurs chez Microsoft, Google, Apache et Cloudflare sans authentification — les agents IA en accélèrent la propagation

Novee Security a révélé « Cordyceps », une classe systémique de vulnérabilités CI/CD affectant plus de 300 dépôts GitHub à fort impact — dont ceux de Microsoft, Google, Apache et Cloudflare — exploitables par n'importe quel compte gratuit sans authentification. Via de simples pull requests, un attaquant peut forger des approbations, injecter du code malveillant ou dérober des identifiants de longue durée ; dans Azure Sentinel de Microsoft, un commentaire de PR suffisait à voler une clé GitHub App non expirable. Les chercheurs signalent que les agents de codage IA reproduisent ces configurations vulnérables à grande échelle, « infectant » les dépôts à un rythme exponentiel.