Kibernetinis saugumas

Saugokite savo DI infrastruktūrą, kol „NadMesh“ neištuštino jūsų debesijos paskyrų

„NadMesh“ botnetas taikosi į atviras DI paslaugas, tokias kaip „ComfyUI“ ir „Ollama“, kad pavogtų AWS raktus ir „Kubernetes“ žetonus. Apsaugokite savo debesijos infrastruktūrą dabar.
Saugokite savo DI infrastruktūrą, kol „NadMesh“ neištuštino jūsų debesijos paskyrų

Daugiamilijoninė įmonės gynybos strategija dažnai žlunga dėl vieno neautentifikuoto konteinerio. Praėjusį ketvirtį tai mačiau savo akimis audituodamas tyrimų laboratoriją, kuri šešis mėnesius stiprino savo „Kubernetes“ grupes, tačiau savaitgalio demonstracijai paliko atvirą „ComfyUI“ egzempliorių. To vienintelio atviro 8188 prievado pakako, kad būtų apeita kiekviena jų įdiegta tinklo politika. „NadMesh“ botnetas, aptiktas 2026 m. liepos pradžioje, gyvuoja būtent tame plyšyje tarp korporatyvinių saugumo standartų ir pašėlusio DI diegimo tempo.

„NadMesh“ yra „Go“ kalba parašyta kenkėjiškų programų šeima, kuriai tapatybė yra svarbesnė už grynąją skaičiavimo galią. Nors ankstesni botnetai daugiausia dėmesio skyrė GPU užgrobimui „Monero“ kasybai, „NadMesh“ operatoriai supranta, kad pavogtas AWS raktas yra vertingesnis už kelis tūkstančius maišos reikšmių per sekundę. „QiAnXin“ „XLab“ penktadienį paskelbė ataskaitą, kurioje išsamiai aprašoma, kaip šis botnetas medžioja vaizdų generatorius, vietinius modelių paleidiklius ir darbo eigų kūrimo įrankius, kuriuos inžinierių komandos greitai įdiegia, o ugniasienes sutvarko per vėlai.

Architektūrinė DI aukso karštinės kaina

Šiuolaikiniame DI diegime egzistuoja esminis paradoksas. Organizacijos daug investuoja į debesijos IAM roles ir šifruotą saugyklą, tačiau leidžia kūrėjams viešajame internete paleisti neautentifikuotus įrankius, tokius kaip „Ollama“ ar „n8n“. „NadMesh“ naudojasi šiuo trūkumų nebuvimu. Botnetas naudoja „Shodan“ rinktuvą, kad skenavimo eilėje nuolat būtų taikinių, naudojančių „ComfyUI“, „Open WebUI“, „Langflow“ ir „Gradio“. Tai yra šiuolaikinio DI technologijų paketo įrankiai, kurie retai būna apsaugoti iš karto po įdiegimo.

Neseniai analizavau duomenų perėmimą, kai kūrėjas įdiegė „Marimo“ užrašų knygelę naujam modeliui išbandyti. Jie ignoravo saugumo įspėjimus, nes įrankio reikėjo tik valandai. Per dvidešimt minučių „NadMesh“ botas nuskenavo IP adresą, identifikavo paslaugą ir bandė pasinaudoti spraga. Toks greitis įmanomas todėl, kad botnetas internetą vertina kaip duomenų bazę, kurioje galima atlikti paiešką, o ne kaip plačią teritoriją, kurioje reikia klaidžioti. Potinkliai, kuriuose randami sėkmingi taikiniai, pakartotinai tikrinami kas penkias minutes. Jei taikinys pažymimas kaip pavojingas, botnetas grįžta kas penkiolika minučių, kad pirmiausia atliktų aukšto prioriteto DI specifinių prievadų skenavimą.

Kaip rinktuvas pildo eilę

Skenavimo logika yra atkakli. Pilnas patikrinimas visas per pastarąsias septynias dienas pavojingomis pažymėtas IP reikšmes perkelia į eilės viršų. Autorius aiškiai žino, kad tyrėjai ir „medaus puodynės“ (angl. honeypots) stebi aplinką. Jei taikinys sugeria dešimt diegimo bandymų negrąžindamas rezultato, botnetas jį automatiškai įtraukia į juodąjį sąrašą. Tai neleidžia tinklui švaistyti išteklių apgaulėms. Kai eilė išsenka, botai sugeneruoja atsitiktinį /24 potinklį ir tęsia medžioklę.

Iki antrosios liepos savaitės unikalių šaltinio IP adresų, platinančių „NadMesh“, skaičius šovė į viršų. „XLab“ užfiksavo, kad jų skaičius nuo beveik nulio šoktelėjo iki maždaug 139 per dieną. Paties operatoriaus valdymo skydelis, užfiksuotas liepos 10 d., nurodo, kad surinkta 3 811 unikalių AWS raktų. Šis neatitikimas tarp nedidelio aktyvių botų skaičiaus ir didžiulio pavogtų kredencialų kiekio rodo itin efektyvų automatizavimo variklį. Operatoriui nereikia didžiulio botneto, jei kiekviena infekcija suteikia pagrindinį raktą į debesijos aplinką.

Spraga modelio konteksto protokole

Modelio konteksto protokolas (angl. Model Context Protocol, MCP) yra pagrindinis vektorius valdiklio prioritetų sąraše. MCP yra standartas, leidžiantis DI modeliams kviesti išorinius įrankius ir pasiekti duomenų šaltinius. Pagal sumanymą, pirmojoje MCP specifikacijoje autentifikavimas buvo paliktas už pagrindinio protokolo ribų. Nuo 2025 m. kovo mėnesio egzistuoja autorizacijos srautas, tačiau specifikacijoje jis apibūdinamas kaip neprivalomas. Daugelis kūrėjų jį praleidžia, kad sutaupytų laiko konfigūravimo metu.

„Censys“ iki 2026 m. gegužės suskaičiavo daugiau nei 21 000 pasiekiamų MCP paslaugų. Maždaug 90 iš jų reklamavo įrankį pavadinimu execute_command. Šis įrankis yra būtent tas kvietimas, kuris stovi „NadMesh“ išnaudojimo lentelės viršuje. Botnetas naudoja JSON-RPC tools/call, kad aktyvuotų šią komandą. Su šia veikla nėra susietas joks CVE, nes programinė įranga veikia tiksliai taip, kaip sukonfigūruota. Problema yra ne kodo klaida. Problema yra protokolas, kuris pagal numatytuosius nustatymus leidžia vykdyti neautentifikuotas komandas.

Modelio ir tapatybės inventorizacija

Kai botas sėkmingai pažeidžia pagrindinį kompiuterį, jis ne tik įdiegia kasimo programą. Jis kataloguoja aplinką. „NadMesh“ valdymo skydelio duomenų srautas rodo „DeepSeek“, „GLM“ ir „Kimi“ modelių inventorius. Šie inventoriai dažnai žymimi „:cloud“ identifikatoriumi. Tai rodo, kad botas žiūri toliau nei vietinė mašina ir nustato, kokias nuotolines DI paslaugas šeimininkas gali pasiekti.

Tai, ką botas siunčia namo, yra organizacijos tapatybė. Jis ištraukia debesijos raktus iš aplinkos kintamųjų, išgauna „Kubernetes“ paslaugų paskyrų žetonus (tokens) ir nuskaito ~/.aws/config turinį. Jis taip pat taikosi į .env failus ir ~/.docker/config.json. Tyrėjai atvirai kalba apie motyvą. Operatoriui rūpi debesijos kredencialai ir grupių privilegijos, o ne pats kompiuteris. Šiuolaikinėje architektūroje kompiuteris yra vienkartinė prekė, tačiau kredencialai suteikia nuolatinę prieigą prie duomenų lygmens.

Išlikimas per trigubą dubliavimąsi

Pašalinti „NadMesh“ iš pažeistos sistemos yra sunku dėl jo dubliuotų išlikimo mechanizmų. Agentas palaiko tris atskirus būdus išlikti po perkrovimo. Jei administratorius randa ir ištrina vieną įrašą, kiti du lieka, kad parsiųstų šviežią kenkėjiškos programos kopiją. Tai tarsi bandymas užgesinti gaisrą, turintį tris nepriklausomus kuro šaltinius. Kiekviena kenkėjiškos programos versija taip pat praeina „Garble“ maskavimą ir UPX pakavimą su atsitiktiniu užpildu. Tai reiškia, kad kiekvienas agentas turi unikalų failo maišos kodą (hash). Saugumo komanda negali pasikliauti vienu kodu, kad surastų infekcijas visame tinkle.

Šiuo metu laisvėje veikia penkios botneto versijos. Dažniausia yra 33.8-GO-TITAN. Operatorius naudoja „canary“ galinį tašką, kad išbandytų naujas versijas nedidelėje tinklo dalyje prieš platų išleidimą. Tai „DevOps“ brandos lygis, atspindintis teisėtas programinės įrangos įmones, į kurias jie taikosi. Operatoriaus sėkmė vertinama pagal rezultatų leidimų sąrašą, į kurį neįtrauktas „Ollama“ ir AWS derlius. Tai rodo, kad valdymo skydelio rezultatų suvestinė rodo tik dalį visos operacijos.

Gynybos veiksmai atviram perimetrui

Dauguma „NadMesh“ atakų yra nukreiptos į administratoriaus funkcijas, paliktas pasiekiamas viešajame internete. Tai apima atvirus „Docker“ API 2375 prievade, „Jenkins“ scenarijų konsoles ir neautentifikuotus „Redis“ egzempliorius. Joks pataisymas neuždaro šių skylių, nes tai yra konfigūracijos pasirinkimai. Norėdami apsaugoti savo aplinką, privalote perkelti šias paslaugas už autentifikavimo sienos arba visiškai pašalinti jas iš viešojo interneto. Pirmenybę teikite keturiems prievadams, kuriuos „NadMesh“ peržiūros darbas tikrina pirmiausia: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) ir 5678 (n8n).

Taip pat yra trumpas pažeidžiamumų sąrašas, kuriuos reikia nedelsiant ištaisyti. CVE-2026-39987 yra nuotolinio kodo vykdymo klaida prieš autentifikavimą „Marimo“ užrašų knygelėse. CISA balandžio mėnesį ją įtraukė į žinomų išnaudojamų pažeidžiamumų katalogą. CVE-2026-41176 taip pat yra kritinis, nes leidžia neautentifikuotiems skambintojams perjungti autentifikavimo jungiklį „rclone RC“ serveriuose. Kadangi „rclone“ konfigūracijose dažnai būna debesijos kredencialai, tai yra aukšto prioriteto „NadMesh“ taikinys.

Jei aptinkate kompromitavimo požymių, nedelsdami izoliuokite kompiuterį. Ieškokite išlikimo failų /etc/cron.d/.sys_monitor ir paslėptų failų /dev/shm/.a arba /tmp/.a. Kredencialų atšaukimas yra vienintelis saugus kelias į priekį. Jei kompiuteris yra pažeistas, darykite prielaidą, kad kiekvienas AWS raktas, grupės žetonas ir .env failas, prie kurio jis prisilietė, dabar yra operatoriaus rankose. Raktų keitimo nepakanka, jei kenkėjiška programa vis dar yra ir gali pavogti naujus. Prieš išduodami naujus raktus, turite pašalinti išlikimo mechanizmus. Audituokite savo žurnalus dėl veiklos iš IP 209.99.186[.]235 arba prisijungimų prie domeno cdnorigin[.]net. Tikslas yra patikrinti, kur buvo panaudotos pavogtos tapatybės, kol jos buvo aktyvios.

Šaltiniai: NIST Cybersecurity Framework, MITRE ATT&CK (Resource Development, Initial Access), QiAnXin XLab NadMesh Report, Censys MCP Census 2026.

Atsakomybės apribojimas: Šis straipsnis skirtas tik informaciniams ir edukaciniams tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar incidentų valdymo paslaugų.

bg
bg
bg

Iki pasimatymo kitoje pusėje.

Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.

/ Sukurti nemokamą paskyrą