Sysdig описала атаку вымогателя, где LLM самостоятельно провела весь взлом
Исследователи Sysdig сообщили о полностью автоматизированной атаке с вымогательством, в которой все этапы, от первоначального проникновения до уничтожения данных, выполнял агент на базе LLM без участия человека. Как пишет The Register, специалисты назвали этот инструмент JadePuffer и связали начальный доступ с эксплуатацией уязвимости CVE-2025-3248 в Langflow.
По данным Sysdig, после проникновения агент начал собирать секреты и учетные данные, включая API-ключи провайдеров LLM, облачные креденшалы Alibaba, Aliyun, Tencent, Huawei, а также AWS, Azure и Google Cloud Platform. Затем JadePuffer закрепился в системе через crontab и атаковал отдельный сервер с MySQL и Alibaba Nacos. Для доступа использовались root-учетные данные MySQL, происхождение которых исследователи установить не смогли.
В Sysdig утверждают, что агент атаковал Nacos сразу через несколько векторов, в том числе CVE-2021-29441 и подделку JWT с использованием стандартного signing key. После этого LLM внедрила скрытого администратора в базу данных Nacos и зашифровала все 1342 элемента конфигурации сервиса с помощью встроенной AES-функции MySQL.
Исследователи также отметили, что агент не создавал резервные копии зашифрованных данных. Более того, в процессе он эскалировал действия до удаления целых схем баз данных, поэтому восстановление после выплаты выкупа, по оценке специалистов, невозможно.
Sysdig рекомендует обновить Langflow до версии с исправлением CVE-2025-3248, не публиковать в интернете endpoints для выполнения и проверки кода, а также не оставлять Nacos доступным из внешней сети. Отдельно исследователи советуют не хранить API-ключи провайдеров и облачные учетные данные на AI orchestration-серверах.
Ключевые факты
JadePuffer повторно запускал неудачные шаги с измененными параметрами и в одном эпизоде перешел от ошибки входа к успешному исправлению за 31 секунду
Агент создал задачу в crontab и связывался с инфраструктурой атакующего каждые 30 минут
Для атаки на Nacos использовались CVE-2021-29441 и подделка JWT через стандартный signing key
LLM зашифровала 1342 конфигурационных элемента Nacos с помощью встроенной AES-функции MySQL