Cybersécurité

Sécuriser votre infrastructure d'IA avant que NadMesh ne vide vos comptes cloud

Le botnet NadMesh cible les services d'IA exposés comme ComfyUI et Ollama pour voler des clés AWS et des jetons Kubernetes. Protégez votre infrastructure cloud dès maintenant.
Sécuriser votre infrastructure d'IA avant que NadMesh ne vide vos comptes cloud

Une stratégie de défense d'entreprise de plusieurs millions de dollars s'effondre souvent sous le poids d'un seul conteneur non authentifié. J'en ai été le témoin direct le trimestre dernier lors de l'audit d'un laboratoire de recherche qui avait passé six mois à durcir ses clusters Kubernetes, mais avait laissé une instance ComfyUI ouverte pour une démonstration le temps d'un week-end. Ce simple port 8188 exposé a suffi à contourner toutes les politiques réseau qu'ils avaient mises en place. Le botnet NadMesh, découvert au début du mois de juillet 2026, prospère précisément dans cet écart entre les normes de sécurité de l'entreprise et le rythme effréné du déploiement de l'IA.

NadMesh est une famille de malwares basés sur Go qui privilégie l'identité à la puissance de calcul brute. Alors que les précédents botnets se concentraient sur le détournement de GPU pour le minage de Monero, les opérateurs derrière NadMesh ont compris qu'un secret AWS volé a plus de valeur que quelques milliers de hachages par seconde. Le XLab de QiAnXin a publié vendredi un rapport détaillant comment ce botnet traque les générateurs d'images, les exécuteurs de modèles locaux et les constructeurs de flux de travail que les équipes d'ingénierie déploient rapidement et protègent tardivement par un pare-feu.

Le coût architectural de la ruée vers l'or de l'IA

Il existe un paradoxe fondamental dans le déploiement moderne de l'IA. Les organisations investissent massivement dans les rôles IAM cloud et le stockage chiffré, tout en permettant aux développeurs d'exécuter des outils non authentifiés comme Ollama ou n8n directement sur l'internet public. NadMesh exploite ce manque de friction. Le botnet utilise un collecteur Shodan pour alimenter sa file d'attente de balayage avec des cibles exécutant ComfyUI, Open WebUI, Langflow et Gradio. Ce sont les outils de la pile IA moderne, et ils sont rarement sécurisés par défaut.

J'ai récemment analysé une capture où un développeur avait déployé un notebook Marimo pour tester un nouveau modèle. Il avait ignoré les avertissements de sécurité car il n'en avait besoin que pour une heure. En vingt minutes, un bot NadMesh avait scanné l'IP, identifié le service et tenté une exploitation. Cette rapidité est possible parce que le botnet traite l'internet comme une base de données interrogeable plutôt que comme un vaste territoire à explorer. Les sous-réseaux qui produisent des résultats positifs sont ré-échantillonnés toutes les cinq minutes. Si une cible est marquée comme dangereuse, le botnet revient toutes les quinze minutes pour effectuer en priorité un scan des ports spécifiques à l'IA.

Comment le collecteur alimente la file d'attente

La logique de balayage est persistante. Un balayage complet ramène chaque IP marquée comme dangereuse au cours des sept derniers jours en haut de la file d'attente. L'auteur sait manifestement que les chercheurs et les pots de miel (honeypots) surveillent. Si une cible absorbe dix tentatives de déploiement sans renvoyer de résultat, le botnet l'inscrit automatiquement sur liste noire. Cela empêche la flotte de gaspiller des ressources sur des leurres. Lorsque la file d'attente est vide, les bots génèrent un sous-réseau /24 aléatoire et poursuivent la traque.

À la deuxième semaine de juillet, le nombre d'adresses IP sources distinctes propageant NadMesh a explosé verticalement. XLab a enregistré un bond passant de près de zéro à environ 139 par jour. Le propre tableau de bord de l'opérateur, capturé le 10 juillet, revendique un butin de 3 811 clés AWS uniques. Cette divergence entre le petit nombre de bots actifs et le volume massif d'identifiants volés suggère un moteur d'automatisation hautement efficace. L'opérateur n'a pas besoin d'un botnet massif si chaque infection rapporte une clé maîtresse vers un environnement cloud.

La vulnérabilité au sein du protocole de contexte de modèle

Le Model Context Protocol (MCP) est le vecteur principal sur la liste de priorités du contrôleur. Le MCP est une norme qui permet aux modèles d'IA d'appeler des outils externes et d'accéder à des sources de données. Par conception, la première spécification du MCP a placé l'authentification en dehors du protocole de base. Un flux d'autorisation existe depuis mars 2025, mais la spécification le décrit comme facultatif. De nombreux développeurs l'ignorent pour gagner du temps lors de la configuration.

Censys a dénombré plus de 21 000 services MCP accessibles en mai 2026. Environ 90 d'entre eux annonçaient un outil nommé execute_command. Cet outil est précisément l'appel situé en haut de la table d'exploitation de NadMesh. Le botnet utilise un JSON-RPC tools/call pour déclencher cette commande. Aucun CVE n'est associé à cette activité car le logiciel fonctionne exactement comme il a été configuré. Le problème n'est pas un bug dans le code. Le problème est un protocole qui autorise l'exécution de commandes non authentifiées par défaut.

Inventorier le modèle et l'identité

Lorsqu'un bot parvient à compromettre un hôte, il ne se contente pas d'installer un mineur. Il catalogue l'environnement. Le flux de renseignements derrière le tableau de bord NadMesh montre des inventaires de modèles DeepSeek, GLM et Kimi. Ces inventaires sont souvent marqués d'un identifiant ":cloud". Cela indique que le bot regarde au-delà de la machine locale et identifie les services d'IA distants auxquels l'hôte peut accéder.

Ce qu'un bot renvoie à sa base, c'est l'identité de l'organisation. Il extrait les clés cloud des variables d'environnement, récupère les jetons de compte de service Kubernetes et racle le contenu de ~/.aws/config. Il cible également les fichiers .env et ~/.docker/config.json. Les chercheurs sont clairs sur le mobile. L'opérateur recherche les identifiants cloud et les privilèges de cluster plutôt que l'hôte lui-même. Dans une architecture moderne, l'hôte est une marchandise jetable, mais les identifiants offrent un accès persistant au plan de données.

Persistance par triple redondance

Supprimer NadMesh d'un système compromis est difficile en raison de ses mécanismes de persistance redondants. L'agent maintient trois manières distinctes de survivre à un redémarrage. Si un administrateur trouve et supprime une entrée, les deux autres restent pour télécharger une nouvelle copie du malware. C'est comme essayer d'éteindre un incendie qui possède trois sources de carburant indépendantes. Chaque version du malware passe également par une obfusquation Garble et un compactage UPX avec un remplissage aléatoire. Cela signifie que chaque agent possède un hachage de fichier unique. Une équipe de sécurité ne peut pas compter sur un seul hachage pour trouver les infections sur son réseau.

Cinq versions de construction du botnet circulent actuellement dans la nature. La plus courante est 33.8-GO-TITAN. L'opérateur utilise un point de terminaison "canary" pour tester les nouvelles versions sur une petite partie de la flotte avant une diffusion large. C'est un niveau de maturité DevOps qui reflète celui des entreprises de logiciels légitimes qu'ils ciblent. Le succès pour l'opérateur est mesuré sur une liste d'autorisation de résultats qui exclut la récolte Ollama et AWS. Cela suggère que le score sur le tableau de bord ne montre qu'une fraction de l'opération totale.

Actions défensives pour le périmètre exposé

La majeure partie de ce que NadMesh projette vise des fonctionnalités d'administration laissées accessibles sur l'internet public. Cela inclut les API Docker ouvertes sur le port 2375, les consoles de script Jenkins et les instances Redis non authentifiées. Aucun correctif ne ferme ces trous car ce sont des choix de configuration. Pour sécuriser votre environnement, vous devez placer ces services derrière une authentification ou les retirer complètement de l'internet public. Priorisez les quatre ports que la tâche de rescan de NadMesh place en tête : 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) et 5678 (n8n).

Il existe également une courte liste de vulnérabilités nécessitant un correctif immédiat. CVE-2026-39987 est une faille d'exécution de code à distance pré-authentification dans les notebooks Marimo. La CISA l'a ajoutée au catalogue des vulnérabilités exploitées connues en avril. La CVE-2026-41176 est également critique, car elle permet à des appelants non authentifiés de basculer l'interrupteur d'authentification sur les serveurs rclone RC. Comme les configurations rclone contiennent souvent des identifiants cloud, c'est une cible prioritaire pour NadMesh.

Si vous trouvez des indicateurs de compromission, isolez immédiatement l'hôte. Recherchez des fichiers de persistance dans /etc/cron.d/.sys_monitor et des fichiers cachés dans /dev/shm/.a ou /tmp/.a. La révocation des identifiants est la seule voie sûre. Si un hôte est compromis, considérez que chaque clé AWS, jeton de cluster et fichier .env qu'il a touché est désormais entre les mains de l'opérateur. Faire tourner les clés ne suffit pas si le malware est toujours présent pour voler les nouvelles. Vous devez supprimer la persistance avant d'émettre des remplacements. Auditez vos journaux pour toute activité provenant de l'IP 209.99.186[.]235 ou des connexions au domaine cdnorigin[.]net. L'objectif est de vérifier où les identités volées ont été utilisées pendant qu'elles étaient actives.

Sources : NIST Cybersecurity Framework, MITRE ATT&CK (Resource Development, Initial Access), QiAnXin XLab NadMesh Report, Censys MCP Census 2026.

Clause de non-responsabilité : Cet article est fourni à des fins d'information et d'éducation uniquement et ne remplace pas un audit professionnel de cybersécurité ou un service de réponse aux incidents.

bg
bg
bg

On se retrouve de l'autre côté.

Notre solution de messagerie cryptée de bout en bout et de stockage en nuage constitue le moyen le plus puissant d'échanger des données en toute sécurité, garantissant ainsi la sûreté et la confidentialité de vos données.

/ Créer un compte gratuit