साइबर सुरक्षा

NadMesh द्वारा आपके क्लाउड खातों को खाली करने से पहले अपने AI इंफ्रास्ट्रक्चर को सुरक्षित करना

NadMesh बॉटनेट AWS कुंजियों और कुबेरनेट्स टोकन चुराने के लिए ComfyUI और Ollama जैसी उजागर AI सेवाओं को लक्षित करता है। अपने क्लाउड इंफ्रास्ट्रक्चर को अभी सुरक्षित करें।
NadMesh द्वारा आपके क्लाउड खातों को खाली करने से पहले अपने AI इंफ्रास्ट्रक्चर को सुरक्षित करना

एक बहु-मिलियन डॉलर की एंटरप्राइज रक्षा रणनीति अक्सर एक एकल अनऑथेंटिकेटेड (unauthenticated) कंटेनर के भार के नीचे ढह जाती है। मैंने पिछले क्वार्टर में एक शोध प्रयोगशाला का ऑडिट करते समय इसे प्रत्यक्ष देखा था, जिसने अपने कुबेरनेट्स (Kubernetes) क्लस्टर को मजबूत करने में छह महीने बिताए थे, लेकिन सप्ताहांत के डेमो के लिए एक ComfyUI इंस्टेंस को खुला छोड़ दिया था। 8188 पर वह एक खुला पोर्ट उनके द्वारा लागू की गई हर नेटवर्क नीति को बायपास करने के लिए पर्याप्त था। जुलाई 2026 की शुरुआत में खोजा गया NadMesh बॉटनेट, कॉर्पोरेट सुरक्षा मानकों और AI परिनियोजन (deployment) की उन्मत्त गति के बीच के उसी अंतर में जीवित रहता है।

NadMesh एक Go-आधारित मालवेयर परिवार है जो कच्चे कंप्यूट के बजाय पहचान (identity) को प्राथमिकता देता है। जबकि पिछले बॉटनेट मोनेरो माइनिंग के लिए GPU को हाईजैक करने पर ध्यान केंद्रित करते थे, NadMesh के पीछे के ऑपरेटर समझते हैं कि एक चोरी किया गया AWS सीक्रेट प्रति सेकंड कुछ हजार हैश से अधिक मूल्यवान है। QiAnXin के XLab ने शुक्रवार को एक रिपोर्ट प्रकाशित की जिसमें विस्तार से बताया गया है कि यह बॉटनेट उन इमेज जनरेटर, लोकल मॉडल रनर और वर्कफ़्लो बिल्डरों का शिकार कैसे करता है जिन्हें इंजीनियरिंग टीमें तेजी से खड़ा करती हैं और फ़ायरवॉल बाद में लगाती हैं।

AI गोल्ड रश की वास्तुकला संबंधी लागत

आधुनिक AI परिनियोजन में एक मौलिक विरोधाभास है। संगठन क्लाउड IAM भूमिकाओं और एन्क्रिप्टेड स्टोरेज में भारी निवेश करते हैं, फिर भी वे डेवलपर्स को सीधे सार्वजनिक इंटरनेट पर Ollama या n8n जैसे अनऑथेंटिकेटेड टूल चलाने की अनुमति देते हैं। NadMesh इस घर्षण की कमी का फायदा उठाता है। बॉटनेट ComfyUI, Open WebUI, Langflow और Gradio चलाने वाले लक्ष्यों के साथ अपनी स्कैन कतार को स्टॉक रखने के लिए Shodan हार्वेस्टर का उपयोग करता है। ये आधुनिक AI स्टैक के उपकरण हैं, और इन्हें शायद ही कभी बॉक्स से बाहर निकलते ही सुरक्षित किया जाता है।

मैंने हाल ही में एक कैप्चर का विश्लेषण किया जहाँ एक डेवलपर ने एक नए मॉडल का परीक्षण करने के लिए Marimo नोटबुक तैनात की थी। उन्होंने सुरक्षा चेतावनियों को नजरअंदाज कर दिया क्योंकि उन्हें इसकी केवल एक घंटे के लिए आवश्यकता थी। बीस मिनट के भीतर, एक NadMesh बॉट ने IP को स्कैन किया, सेवा की पहचान की और एक एक्सप्लॉइट का प्रयास किया। यह गति इसलिए संभव है क्योंकि बॉटनेट इंटरनेट को भटकने के लिए एक विशाल क्षेत्र के बजाय एक खोजने योग्य डेटाबेस की तरह मानता है। सफल हिट देने वाले सबनेट का हर पांच मिनट में पुन: नमूना लिया जाता है। यदि किसी लक्ष्य को खतरनाक के रूप में चिह्नित किया जाता है, तो बॉटनेट पहले AI-विशिष्ट पोर्ट का उच्च-प्राथमिकता स्कैन चलाने के लिए हर पंद्रह मिनट में वापस आता है।

हार्वेस्टर कतार को कैसे फीड करता है

स्कैनिंग लॉजिक निरंतर है। एक पूर्ण स्वीप पिछले सात दिनों में खतरनाक चिह्नित हर IP को कतार के शीर्ष पर वापस खींच लेता है। लेखक स्पष्ट रूप से जानता है कि शोधकर्ता और हनीपॉट देख रहे हैं। यदि कोई लक्ष्य परिणाम दिए बिना दस परिनियोजन प्रयासों को सोख लेता है, तो बॉटनेट उसे स्वचालित रूप से ब्लैकलिस्ट कर देता है। यह बेड़े को डिकॉय (decoys) पर संसाधन बर्बाद करने से रोकता है। जब कतार सूख जाती है, तो बॉट एक रैंडम /24 सबनेट उत्पन्न करते हैं और शिकार जारी रखते हैं।

जुलाई के दूसरे सप्ताह तक, NadMesh को धकेलने वाले विशिष्ट स्रोत IP वर्टिकल हो गए। XLab ने गिनती को शून्य के करीब से बढ़कर लगभग 139 प्रतिदिन दर्ज किया। 10 जुलाई को कैप्चर किए गए ऑपरेटर के अपने डैशबोर्ड ने 3,811 अद्वितीय AWS कुंजियों (keys) के संग्रह का दावा किया है। सक्रिय बॉट्स की कम संख्या और चोरी किए गए क्रेडेंशियल्स की भारी मात्रा के बीच यह विसंगति एक अत्यधिक कुशल ऑटोमेशन इंजन का सुझाव देती है। ऑपरेटर को एक विशाल बॉटनेट की आवश्यकता नहीं है यदि प्रत्येक संक्रमण क्लाउड वातावरण के लिए एक मास्टर कुंजी प्रदान करता है।

मॉडल कॉन्टेक्स्ट प्रोटोकॉल के अंदर की भेद्यता

मॉडल कॉन्टेक्स्ट प्रोटोकॉल (MCP) कंट्रोलर की प्राथमिकता सूची में प्राथमिक वेक्टर है। MCP एक मानक है जो AI मॉडल को बाहरी टूल कॉल करने और डेटा स्रोतों तक पहुँचने की अनुमति देता है। डिजाइन के अनुसार, MCP के पहले विनिर्देश ने प्रमाणीकरण (authentication) को मुख्य प्रोटोकॉल से बाहर रखा था। मार्च 2025 तक एक प्राधिकरण प्रवाह मौजूद है, लेकिन विनिर्देश इसे वैकल्पिक के रूप में वर्णित करता है। कई डेवलपर्स कॉन्फ़िगरेशन के दौरान समय बचाने के लिए इसे छोड़ देते हैं।

Censys ने मई 2026 तक 21,000 से अधिक सुलभ MCP सेवाओं की गणना की। उनमें से लगभग 90 ने execute_command नामक एक टूल का विज्ञापन किया। यह टूल NadMesh एक्सप्लॉइट टेबल के शीर्ष पर सटीक कॉल है। बॉटनेट इस कमांड को ट्रिगर करने के लिए JSON-RPC tools/call का उपयोग करता है। इस गतिविधि के साथ कोई CVE जुड़ा नहीं है क्योंकि सॉफ्टवेयर बिल्कुल वैसा ही प्रदर्शन कर रहा है जैसा कॉन्फ़िगर किया गया है। समस्या कोड में बग नहीं है। समस्या एक ऐसा प्रोटोकॉल है जो डिफ़ॉल्ट रूप से अनऑथेंटिकेटेड कमांड निष्पादन की अनुमति देता है।

मॉडल और पहचान की सूची बनाना

जब कोई बॉट सफलतापूर्वक किसी होस्ट से समझौता करता है, तो वह केवल एक माइनर स्थापित नहीं करता है। वह वातावरण को सूचीबद्ध करता है। NadMesh डैशबोर्ड के पीछे का इंटेल फीड DeepSeek, GLM और Kimi मॉडल की सूची दिखाता है। इन सूचियों को अक्सर ":cloud" पहचानकर्ता के साथ टैग किया जाता है। यह इंगित करता है कि बॉट स्थानीय मशीन से आगे देख रहा है और पहचान रहा है कि होस्ट किन दूरस्थ AI सेवाओं तक पहुँच सकता है।

एक बॉट जो घर भेजता है वह संगठन की पहचान है। यह एनवायरनमेंट वेरिएबल्स से क्लाउड कुंजियाँ निकालता है, कुबेरनेट्स सेवा खाता टोकन निकालता है, और ~/.aws/config की सामग्री को स्क्रैप करता है। यह .env फाइलों और ~/.docker/config.json को भी लक्षित करता है। शोधकर्ता मकसद के बारे में स्पष्ट हैं। ऑपरेटर होस्ट के बजाय क्लाउड क्रेडेंशियल्स और क्लस्टर विशेषाधिकारों के पीछे है। एक आधुनिक वास्तुकला में, होस्ट एक डिस्पोजेबल वस्तु है, लेकिन क्रेडेंशियल्स डेटा प्लेन तक निरंतर पहुँच प्रदान करते हैं।

ट्रिपल रिडंडेंसी के माध्यम से दृढ़ता

NadMesh को एक समझौता किए गए सिस्टम से हटाना मुश्किल है क्योंकि इसके रिडंडेंट दृढ़ता तंत्र (persistence mechanisms) हैं। एजेंट रीबूट के बाद जीवित रहने के लिए तीन अलग-अलग तरीके बनाए रखता है। यदि कोई व्यवस्थापक एक प्रविष्टि ढूंढता है और उसे हटा देता है, तो मालवेयर की एक नई प्रति खींचने के लिए अन्य दो शेष रहते हैं। यह आग बुझाने की कोशिश करने जैसा है जिसके पास तीन स्वतंत्र ईंधन स्रोत हैं। मालवेयर का हर निर्माण Garble अस्पष्टता (obfuscation) और रैंडम पैडिंग के साथ UPX पैकिंग से भी गुजरता है। इसका मतलब है कि प्रत्येक एजेंट का एक अद्वितीय फ़ाइल हैश होता है। एक सुरक्षा टीम अपने नेटवर्क पर संक्रमण खोजने के लिए एकल हैश पर भरोसा नहीं कर सकती है।

बॉटनेट के पांच बिल्ड संस्करण वर्तमान में सक्रिय हैं। सबसे आम 33.8-GO-TITAN है। ऑपरेटर व्यापक रिलीज से पहले बेड़े के एक छोटे हिस्से में नए बिल्ड को स्टेज करने के लिए कैनरी एंडपॉइंट का उपयोग करता है। यह डेवऑप्स (DevOps) परिपक्वता का एक स्तर है जो उन वैध सॉफ्टवेयर कंपनियों को दर्शाता है जिन्हें वे लक्षित करते हैं। ऑपरेटर के लिए सफलता को एक परिणाम अनुमति सूची (allowlist) पर स्कोर किया जाता है जिसमें Ollama और AWS हार्वेस्ट शामिल नहीं हैं। यह सुझाव देता है कि डैशबोर्ड पर स्कोरबोर्ड कुल ऑपरेशन का केवल एक अंश दिखा रहा है।

उजागर परिधि के लिए रक्षात्मक कार्रवाइयां

NadMesh जो कुछ भी फेंकता है उसका अधिकांश हिस्सा सार्वजनिक इंटरनेट पर कॉल करने योग्य छोड़ी गई एडमिन कार्यक्षमता पर लक्षित होता है। इसमें पोर्ट 2375 पर खुले डॉकर API, जेनकिंस स्क्रिप्ट कंसोल और अनऑथेंटिकेटेड रेडिस (Redis) इंस्टेंस शामिल हैं। कोई भी पैच इन छेदों को बंद नहीं करता है क्योंकि वे कॉन्फ़िगरेशन विकल्प हैं। अपने वातावरण को सुरक्षित करने के लिए, आपको इन सेवाओं को प्रमाणीकरण के पीछे या सार्वजनिक इंटरनेट से पूरी तरह से हटा देना चाहिए। उन चार पोर्टों को प्राथमिकता दें जिन्हें NadMesh रीस्कैन जॉब पहले रखता है: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio), और 5678 (n8n)।

भेद्यताओं की एक छोटी सूची भी है जिसके लिए तत्काल पैचिंग की आवश्यकता है। CVE-2026-39987 Marimo नोटबुक में एक प्री-ऑथेंटिकेशन रिमोट कोड निष्पादन दोष है। CISA ने इसे अप्रैल में ज्ञात शोषित भेद्यता (Known Exploited Vulnerabilities) कैटलॉग में जोड़ा। CVE-2026-41176 भी महत्वपूर्ण है, क्योंकि यह अनऑथेंटिकेटेड कॉलर्स को rclone RC सर्वर पर प्रमाणीकरण स्विच फ्लिप करने की अनुमति देता है। चूंकि rclone कॉन्फ़िगरेशन में अक्सर क्लाउड क्रेडेंशियल्स होते हैं, इसलिए यह NadMesh के लिए एक उच्च-प्राथमिकता वाला लक्ष्य है।

यदि आपको समझौते के संकेतक मिलते हैं, तो होस्ट को तुरंत अलग कर दें। /etc/cron.d/.sys_monitor में दृढ़ता फ़ाइलों और /dev/shm/.a या /tmp/.a में छिपी हुई फ़ाइलों की तलाश करें। क्रेडेंशियल्स को रद्द करना ही आगे बढ़ने का एकमात्र सुरक्षित रास्ता है। यदि किसी होस्ट के साथ समझौता किया गया है, तो मान लें कि उसके द्वारा छुई गई हर AWS कुंजी, क्लस्टर टोकन और .env फ़ाइल अब ऑपरेटर के हाथों में है। यदि मालवेयर अभी भी नए क्रेडेंशियल्स चुराने के लिए मौजूद है, तो कुंजियों को घुमाना पर्याप्त नहीं है। नए क्रेडेंशियल्स जारी करने से पहले आपको दृढ़ता (persistence) को हटाना होगा। IP 209.99.186[.]235 से गतिविधि या डोमेन cdnorigin[.]net के कनेक्शन के लिए अपने लॉग का ऑडिट करें। लक्ष्य यह सत्यापित करना है कि चोरी की गई पहचानों का उपयोग तब कहाँ किया गया था जब वे लाइव थीं।

स्रोत: NIST Cybersecurity Framework, MITRE ATT&CK (Resource Development, Initial Access), QiAnXin XLab NadMesh Report, Censys MCP Census 2026.

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और यह पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।

bg
bg
bg

आप दूसरी तरफ देखिए।

हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।

/ एक नि: शुल्क खाता बनाएं