В начале июля администратор одной компании мог открыть панель с AI-инструментами и увидеть странную картину: запросы на сервер идут, а рядом всплывают следы чужой активности. Так ботнет NadMesh нашёл себе новую добычу — не сам сервер, а секреты, которые на нём лежат.
Что произошло
Исследователи QiAnXin XLab сообщили о новом ботнете на Go под названием NadMesh. По их данным, оператор в первую очередь охотится за открытыми AI-сервисами и инструментами для разработки, а в панели управления хвалится тысячами добытых AWS-ключей и десятками наборов учётных данных.
Под удар попали ComfyUI, Ollama, n8n, Open WebUI, Langflow и Gradio — сервисы, которые команды часто поднимают быстро, а закрывают от интернета уже потом. Именно на таких настройках и строится большая часть истории: сервис выставлен наружу, порт открыт, а защита доступа не доделана.
Как работает атака
NadMesh не ломает всё подряд. Он сначала сканирует адреса через данные Shodan и собирает очередь из уязвимых или просто плохо настроенных систем, а потом снова и снова возвращается к тем, где уже нашёл что-то ценное.
По отчёту XLab, бот забирает переменные окружения, токены сервисных аккаунтов Kubernetes, содержимое файлов ~/.aws/config, .env и ~/.docker/config.json. Исследователи прямо пишут: оператору нужен не сам хост, а доступ к облаку, кластеру и внутренним сервисам, которые этот хост видит.
Отдельная цель — MCP-сервисы с доступной командой execute_command. В списке приоритетов у NadMesh MCP стоит даже выше Kubernetes, Docker API и Redis. На практике это означает, что злоумышленники ищут не просто открытый интерфейс, а точку, через которую можно запустить команду и вытащить секреты дальше по цепочке.
Тут есть неприятный системный риск. На открытых инстансах AI-платформ и вспомогательных сервисов нередко лежат те же ошибки, что и у обычной инфраструктуры: слабые пароли, открытые административные панели, забытые ключи и токены. Именно поэтому разбор утечек секретов в облаке остаётся актуальным не только для разработчиков, но и для любых команд, которые держат сервисы в публичной сети.
Кого затронуло и чем это опасно
По данным XLab, активность NadMesh резко выросла в первой неделе июля. До этого исследователи почти не видели его с новых адресов, а потом счетчик пошёл вверх — около 139 уникальных источников в день.
Ботнет уже собирает не только ключи AWS. В числе добычи — токены Kubernetes, доступ к моделям, данные из контейнерных конфигов и облачные секреты, которые часто открывают дорогу уже в другие системы компании. Дальше всё зависит от того, где эти ключи применяли: в инфраструктуре разработчиков, в тестовых стендах или в продуктиве.
XLab отдельно отмечает, что большая часть эксплойт-трафика NadMesh всё ещё бьёт по Docker-сокетам, Jenkins, слабому Telnet и Redis. То есть открытые AI-сервисы — важная цель, но не единственная. Ботнет действует шире и использует любые наружные сервисы, где можно найти логин, токен или командный интерфейс.
Для компаний это грозит утечкой облачных учётных данных, захватом Kubernetes-кластера и дальнейшим продвижением внутри сети. Для обычных пользователей риск тоже есть: если вы случайно оставили свой домашний сервер, ноутбук или тестовый контейнер с ключами в открытом доступе, злоумышленники соберут всё за один заход.
Что делать прямо сейчас
Если у вас есть AI-сервисы, панели автоматизации, контейнерные инструменты или тестовые окружения, проверьте, не торчат ли они в интернет. Закройте административные интерфейсы, включите авторизацию и уберите наружу всё лишнее.
Затем пройдитесь по секретам: .env, файлы облачных конфигов, токены сервисных аккаунтов, учётные записи Docker и ключи SSH. Если есть подозрение на утечку, отзывайте доступ сразу, а не «на всякий случай потом» — задержка даёт ботнету время на повторный вход.
Для команд в поездках и при работе с чужих сетей полезно держать отдельный слой защиты для трафика. В этом помогает защищённое подключение для рабочих поездок, но оно не заменяет нормальную авторизацию, 2FA и контроль секретов.
Если вы видите странную активность на сервере, проверьте логи подключений, запланированные задания и файлы в /tmp, /var/tmp и /dev/shm. Ботнеты вроде NadMesh часто оставляют после себя несколько путей закрепления, а не один.
- Проверьте, не открыты ли ComfyUI, Ollama, Gradio, n8n и другие админские панели наружу
- Закройте доступ к Docker API, Jenkins, Redis и Telnet из интернета
- Отзовите и замените AWS-ключи, токены Kubernetes и другие секреты, если они могли утечь
- Проверьте файлы
.env,~/.aws/config,~/.docker/config.jsonи сервисные аккаунты - Посмотрите логи на странные вызовы
execute_commandи похожие команды - Убедитесь, что у сотрудников включена 2FA и используется менеджер паролей
- Если работаете вне офиса, используйте дополнительный слой защиты трафика через подключение для поездок
- Пересмотрите правила публикации тестовых и демо-сервисов в интернет
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.