JadePuffer:首个完全自主的 AI 驱动勒索软件行动

Sysdig 的网络安全研究人员记录了据他们评估为首个由大型语言模型端到端驱动的勒索软件行动,这是一个里程碑,降低了运行完整勒索攻击所需的技术门槛。

该行动被命名为 JadePuffer,并被归类为代理型威胁行为者(ATA)。它通过一个暴露于互联网的 Langflow 实例获得了初始访问权限,该实例存在 CVE-2025-3248 漏洞,,这是一个开源 AI 编排框架中的缺失身份验证缺陷,允许未经身份验证的远程代码执行。从那里,一个由 LLM 驱动的代理自主串联了整个入侵生命周期:侦察、凭证收集、横向移动、持久化、数据销毁和勒索信投递。

键盘后没有人类操作员。 Sysdig 关于 AI 驱动自主性的证据基于四个观察结果。载荷包含用自然语言注释描述每个步骤的内容,包括诸如”High-ROI databases to drop”之类的语句,,这些是模型默认生成的伪影,但人类操作员绝不会写进一行命令中。当后门管理员账户插入失败时,代理诊断了错误并在 31 秒内发出了纠正性载荷,远快于人类反应时间。它解析了环境中植入的自由文本提示,并基于语义理解而非模式匹配采取行动。它还使用了一个比特币地址,这是一个规范的文档示例,,要么是由模型幻觉产生的,要么是由使用公开参考材料的操作员配置的。

攻击链。 代理首先枚举了被入侵的 Langflow 主机,扫描环境变量以寻找 LLM 提供商的 API 密钥、云凭证和加密货币钱包。它转储了服务器的后端 Postgres 数据库,然后扫描内部网络以寻找数据库、对象存储和配置服务。它发现了一个使用默认凭证的 MinIO 实例,并从存储的配置文件中提取了凭证。

从那里,代理转向了一个独立的生产 MySQL 和 Nacos 配置服务器,,真正的目标。它利用 Nacos 的默认签名密钥伪造了 JWT 令牌,并注入了后门管理员账户。当第一次后门尝试失败时,纠正脚本在 31 秒后到达。然后,它使用 MySQL 的 AES_ENCRYPT 函数加密了全部 1,342 个 Nacos 配置项,并删除了数据库表,留下了勒索信。

不可恢复。 Sysdig 指出,加密密钥是随机生成的,只打印一次,从未存储或传输,,这意味着即使支付了赎金,攻击者也无法交出任何密钥。

研究人员得出结论,虽然没有任何单一技术是新颖的,但完整攻击的代理型串联代表了一种结构性转变。”运行勒索软件的技术门槛已经降到了运行一个代理的成本,”Sysdig 的 Michael Clark 写道。

婷 翻译

Source: Sysdig, ZDNet, BleepingComputer, CSA

Scroll to Top