Sysdig は、AI エージェントによる最初のエンドツーエンドのランサムウェア攻撃を文書化したと発表しました。この攻撃は、露出したシステムを自律的に悪用し、認証情報を盗み、永続性を確立し、本番データベースを侵害し、データを破壊しました。研究チームは攻撃者を「JadePuffer」と名付け、CVE-2025-3248を悪用することでWebに接続されたLangflowインスタンスへの初期アクセスを獲得したと発表した。 「しかし、最も顕著な特徴はLLMの動作だった」とSysdigの脅威調査担当ディレクター、マイケル・クラーク氏はブログ投稿で述べた。匿名の読者が登録簿の一節を引用する。 JadePuffer の「自己番号付き」ペイロードには、「自然言語による推論、ターゲットの優先順位付け、および人間のオペレーターはあまり書かないが LLM 生成コードが反射的に生成する種類の詳細なメモが含まれていた」とクラーク氏は付け加えた。 「操作もリアルタイムで調整され、洗練されたパラメータ内で失敗したステップを再試行しました。あるシーケンスでは、失敗した入力から正常に修正されるまで 31 秒で完了しました。」リモートの認証されていない攻撃者がホスト上で任意の Python を実行できるようにする、Langflow の認証が欠落している脆弱性 CVE-2025-3248 を悪用した後、AI エージェントは、LLM ベンダー API キー、Tenbaba の「明示的にカバーされている」クラウド証明書、および明示的にカバーされている Alibaba、Huawei、および Huawei を含むシークレットのスキャンと収集を開始しました。 AWS、Azure、Google Cloud Platform、暗号通貨ウォレット、データベース認証情報をスキャンします。
また、AI は永続性を維持し、30 分ごとに攻撃者のインフラストラクチャにコールバックするために、Langflow サーバーに crontab エントリをインストールしました。 JadePuffer の意図したターゲットは、Alibaba Nacos MySQL データベースと構成サービスを実行する、Web に公開された別個の運用サーバーだったと言われています。 Nacos は、Alibaba によって開発され、クラウド プロバイダーのマイクロサービス アプリケーションで使用されるオープンソースのサービス検出および動的構成プラットフォームです。エージェントはルート認証情報を使用してサーバーの公開された MySQL ポートに接続しましたが、攻撃者が認証情報をどのように取得したかは Sysdig にはわかりません。これらの資格情報は被害者の環境から盗まれたものではありません。
その後、JadePuffer は、特権オーバーライドの欠陥 (CVE-2021-29441) や、Nacos のデフォルトの署名キーを使用した有効な JSON Web トークン (JWT) の偽造など、複数のベクトルを使用して Nacos を攻撃しました。さらに、LLM は、その基盤となるデータベース アクセスを使用して、Nacos バックアップ データベースにバックドア マネージャーを挿入しました。最終的には、MySQL の組み込み暗号化機能を使用して 1,342 個の Nacos サービス構成アイテムすべてを暗号化し、恐喝要求、身代金メモ、ビットコイン支払いアドレス、および Proton Mail の連絡先を作成しました。 […]。しかし、脅威ハンターらによると、エージェントは暗号化されたデータを一切バックアップせずに「行レベルの削除からデータベーススキーマ全体のダウンロードまで」を進め、標的とする根拠を告げたため、身代金要求を支払ったとしても被害者は暗号化されたデータを回復することはできないという。