JADEPUFFER не просто выполнял команды, а менял план атаки прямо на ходу.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Программы-вымогатели десятилетиями требовали человека за клавиатурой — того, кто пишет вредоносный сценарий и ведёт атаку. Однако ИБ-команда Sysdig описала первый задокументированный случай, когда всю операцию вымогательства от начала до конца провела большая языковая модель без участия человека. Атакующего назвали JADEPUFFER.
Точкой входа стал доступный из интернета сервер с фреймворком Langflow, на котором создают приложения на основе языковых моделей. Через уязвимость CVE-2025-3248 (10.0 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), позволяющую без авторизации выполнить чужой код, модель захватила управление хостом. Такие серверы ценны для атак, поскольку нередко хранят ключи доступа к облакам и другим ИИ-сервисам.
Получив контроль, модель осмотрела систему, собрала ключи и пароли, а также искала данные криптокошельков, выгрузила базу Langflow и просканировала внутреннюю сеть. Она нашла хранилище MinIO с настройками по умолчанию и извлекла оттуда файлы с учётными данными. Действия шли методом проб и ошибок: когда ответ приходил не в том формате, модель тут же меняла разбор и повторяла запрос. Для закрепления она добавила задачу, каждые полчаса связывавшуюся с сервером злоумышленников.
Настоящей целью оказался отдельный сервер с базой MySQL и сервисом настроек Nacos. Используя корневой доступ, модель создала скрытую учётную запись администратора, зашифровала все 1342 элемента конфигурации, удалила исходные таблицы и оставила требование вымогательства с биткоин-адресом и почтой для связи. Ключ шифрования был случайным и нигде не сохранялся — восстановить данные жертва не сможет даже после оплаты.
На автономность указала сама структура кода: он был насыщен пояснениями на обычном языке, которые объясняли каждый шаг и расстановку приоритетов. Ещё нагляднее оказалась скорость исправления ошибок. После неудачного входа модель за 31 секунду поставила диагноз, переписала сценарий и добилась успеха. У человека такая цепочка действий заняла бы гораздо больше времени.
Случай показывает, что порог для запуска подобных атак резко упал: модель сама выстраивает разведку, кражу данных, продвижение по сети и разрушение, не требуя от оператора глубоких познаний. Устаревшие уязвимости при этом ставятся на поток.
Чтобы снизить риск, Langflow стоит обновить до версии с исправлением CVE-2025-3248 и не открывать в интернет узлы с выполнением кода. Не следует держать ключи доступа рядом с веб-серверами, а стандартный ключ Nacos нужно сменить и закрыть платформу от внешнего доступа. Кроме того, не лишним будет запретить подключение к базам под корневой учётной записью и ограничить исходящий трафик.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Программы-вымогатели десятилетиями требовали человека за клавиатурой — того, кто пишет вредоносный сценарий и ведёт атаку. Однако ИБ-команда Sysdig описала первый задокументированный случай, когда всю операцию вымогательства от начала до конца провела большая языковая модель без участия человека. Атакующего назвали JADEPUFFER.
Точкой входа стал доступный из интернета сервер с фреймворком Langflow, на котором создают приложения на основе языковых моделей. Через уязвимость CVE-2025-3248 (10.0 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), позволяющую без авторизации выполнить чужой код, модель захватила управление хостом. Такие серверы ценны для атак, поскольку нередко хранят ключи доступа к облакам и другим ИИ-сервисам.
Получив контроль, модель осмотрела систему, собрала ключи и пароли, а также искала данные криптокошельков, выгрузила базу Langflow и просканировала внутреннюю сеть. Она нашла хранилище MinIO с настройками по умолчанию и извлекла оттуда файлы с учётными данными. Действия шли методом проб и ошибок: когда ответ приходил не в том формате, модель тут же меняла разбор и повторяла запрос. Для закрепления она добавила задачу, каждые полчаса связывавшуюся с сервером злоумышленников.
Настоящей целью оказался отдельный сервер с базой MySQL и сервисом настроек Nacos. Используя корневой доступ, модель создала скрытую учётную запись администратора, зашифровала все 1342 элемента конфигурации, удалила исходные таблицы и оставила требование вымогательства с биткоин-адресом и почтой для связи. Ключ шифрования был случайным и нигде не сохранялся — восстановить данные жертва не сможет даже после оплаты.
На автономность указала сама структура кода: он был насыщен пояснениями на обычном языке, которые объясняли каждый шаг и расстановку приоритетов. Ещё нагляднее оказалась скорость исправления ошибок. После неудачного входа модель за 31 секунду поставила диагноз, переписала сценарий и добилась успеха. У человека такая цепочка действий заняла бы гораздо больше времени.
Случай показывает, что порог для запуска подобных атак резко упал: модель сама выстраивает разведку, кражу данных, продвижение по сети и разрушение, не требуя от оператора глубоких познаний. Устаревшие уязвимости при этом ставятся на поток.
Чтобы снизить риск, Langflow стоит обновить до версии с исправлением CVE-2025-3248 и не открывать в интернет узлы с выполнением кода. Не следует держать ключи доступа рядом с веб-серверами, а стандартный ключ Nacos нужно сменить и закрыть платформу от внешнего доступа. Кроме того, не лишним будет запретить подключение к базам под корневой учётной записью и ограничить исходящий трафик.
- Источник новости
- www.securitylab.ru