В начале июля администратор одной компании мог открыть панель с AI-инструментами и увидеть странную картину: запросы на сервер идут, а рядом всплывают следы чужой активности. Так ботнет NadMesh нашёл себе новую добычу — не сам сервер, а секреты, которые на нём лежат.

Что произошло

Исследователи QiAnXin XLab сообщили о новом ботнете на Go под названием NadMesh. По их данным, оператор в первую очередь охотится за открытыми AI-сервисами и инструментами для разработки, а в панели управления хвалится тысячами добытых AWS-ключей и десятками наборов учётных данных.

Под удар попали ComfyUI, Ollama, n8n, Open WebUI, Langflow и Gradio — сервисы, которые команды часто поднимают быстро, а закрывают от интернета уже потом. Именно на таких настройках и строится большая часть истории: сервис выставлен наружу, порт открыт, а защита доступа не доделана.

Как работает атака

NadMesh не ломает всё подряд. Он сначала сканирует адреса через данные Shodan и собирает очередь из уязвимых или просто плохо настроенных систем, а потом снова и снова возвращается к тем, где уже нашёл что-то ценное.

По отчёту XLab, бот забирает переменные окружения, токены сервисных аккаунтов Kubernetes, содержимое файлов ~/.aws/config, .env и ~/.docker/config.json. Исследователи прямо пишут: оператору нужен не сам хост, а доступ к облаку, кластеру и внутренним сервисам, которые этот хост видит.

Отдельная цель — MCP-сервисы с доступной командой execute_command. В списке приоритетов у NadMesh MCP стоит даже выше Kubernetes, Docker API и Redis. На практике это означает, что злоумышленники ищут не просто открытый интерфейс, а точку, через которую можно запустить команду и вытащить секреты дальше по цепочке.

Тут есть неприятный системный риск. На открытых инстансах AI-платформ и вспомогательных сервисов нередко лежат те же ошибки, что и у обычной инфраструктуры: слабые пароли, открытые административные панели, забытые ключи и токены. Именно поэтому разбор утечек секретов в облаке остаётся актуальным не только для разработчиков, но и для любых команд, которые держат сервисы в публичной сети.

Кого затронуло и чем это опасно

По данным XLab, активность NadMesh резко выросла в первой неделе июля. До этого исследователи почти не видели его с новых адресов, а потом счетчик пошёл вверх — около 139 уникальных источников в день.

Ботнет уже собирает не только ключи AWS. В числе добычи — токены Kubernetes, доступ к моделям, данные из контейнерных конфигов и облачные секреты, которые часто открывают дорогу уже в другие системы компании. Дальше всё зависит от того, где эти ключи применяли: в инфраструктуре разработчиков, в тестовых стендах или в продуктиве.

XLab отдельно отмечает, что большая часть эксплойт-трафика NadMesh всё ещё бьёт по Docker-сокетам, Jenkins, слабому Telnet и Redis. То есть открытые AI-сервисы — важная цель, но не единственная. Ботнет действует шире и использует любые наружные сервисы, где можно найти логин, токен или командный интерфейс.

Для компаний это грозит утечкой облачных учётных данных, захватом Kubernetes-кластера и дальнейшим продвижением внутри сети. Для обычных пользователей риск тоже есть: если вы случайно оставили свой домашний сервер, ноутбук или тестовый контейнер с ключами в открытом доступе, злоумышленники соберут всё за один заход.

Что делать прямо сейчас

Если у вас есть AI-сервисы, панели автоматизации, контейнерные инструменты или тестовые окружения, проверьте, не торчат ли они в интернет. Закройте административные интерфейсы, включите авторизацию и уберите наружу всё лишнее.

Затем пройдитесь по секретам: .env, файлы облачных конфигов, токены сервисных аккаунтов, учётные записи Docker и ключи SSH. Если есть подозрение на утечку, отзывайте доступ сразу, а не «на всякий случай потом» — задержка даёт ботнету время на повторный вход.

Для команд в поездках и при работе с чужих сетей полезно держать отдельный слой защиты для трафика. В этом помогает защищённое подключение для рабочих поездок, но оно не заменяет нормальную авторизацию, 2FA и контроль секретов.

Если вы видите странную активность на сервере, проверьте логи подключений, запланированные задания и файлы в /tmp, /var/tmp и /dev/shm. Ботнеты вроде NadMesh часто оставляют после себя несколько путей закрепления, а не один.

  • Проверьте, не открыты ли ComfyUI, Ollama, Gradio, n8n и другие админские панели наружу
  • Закройте доступ к Docker API, Jenkins, Redis и Telnet из интернета
  • Отзовите и замените AWS-ключи, токены Kubernetes и другие секреты, если они могли утечь
  • Проверьте файлы .env, ~/.aws/config, ~/.docker/config.json и сервисные аккаунты
  • Посмотрите логи на странные вызовы execute_command и похожие команды
  • Убедитесь, что у сотрудников включена 2FA и используется менеджер паролей
  • Если работаете вне офиса, используйте дополнительный слой защиты трафика через подключение для поездок
  • Пересмотрите правила публикации тестовых и демо-сервисов в интернет
Поделиться: