NadMesh atakuje publiczne usługi AI i kradnie klucze chmurowe oraz tokeny Kubernetes - Security Bez Tabu

NadMesh atakuje publiczne usługi AI i kradnie klucze chmurowe oraz tokeny Kubernetes

Cybersecurity news

Wprowadzenie do problemu / definicja

NadMesh to nowo wykryty botnet napisany w języku Go, który koncentruje się nie tylko na przejęciu zainfekowanego hosta, ale przede wszystkim na pozyskiwaniu poświadczeń, sekretów i tokenów umożliwiających dalszą kompromitację środowisk chmurowych oraz kontenerowych. Jego operatorzy aktywnie wyszukują publicznie wystawione usługi AI, narzędzia automatyzacji i interfejsy administracyjne, które mogą stanowić szybki punkt wejścia do cenniejszych zasobów.

To podejście pokazuje istotną zmianę w krajobrazie zagrożeń. Coraz częściej celem cyberprzestępców nie jest sama moc obliczeniowa maszyny, lecz dostęp do tożsamości infrastrukturalnej zapisanej w plikach konfiguracyjnych, zmiennych środowiskowych i tokenach serwisowych.

W skrócie

  • NadMesh skanuje internet w poszukiwaniu publicznie dostępnych usług AI i komponentów cloud-native.
  • Na celowniku znajdują się m.in. ComfyUI, Ollama, Open WebUI, Langflow, Gradio i n8n.
  • Malware zbiera sekrety z plików konfiguracyjnych, danych środowiskowych oraz konfiguracji AWS, Dockera i SSH.
  • Botnet wykorzystuje także otwarte Docker API, Jenkins Script Console, Redis, Telnet i SSH.
  • Największe ryzyko dotyczy organizacji, które nie segmentują środowisk i przechowują poświadczenia bez odpowiedniej ochrony.

Kontekst / historia

Aktywność NadMesh została zaobserwowana na początku lipca 2026 roku. Badacze opisali infrastrukturę operatora, która obejmuje własny panel zarządzania pokazujący liczbę infekcji, wdrożeń oraz pozyskanych poświadczeń. Choć dostępne dane telemetryczne nie są całkowicie spójne, wskazują na szeroko zakrojoną kampanię ukierunkowaną na środowiska AI i infrastrukturę cloud-native.

W odróżnieniu od wcześniejszych kampanii wymierzonych w publiczne narzędzia AI, NadMesh nie koncentruje się głównie na kopaniu kryptowalut czy wykorzystywaniu hostów jako proxy. Kluczową wartością są tutaj dane uwierzytelniające, które pozwalają przestępcom przenieść się z jednego serwera do chmury, klastra Kubernetes, rejestru kontenerów albo systemów CI/CD.

Analiza techniczna

Mechanizm działania NadMesh obejmuje kilka etapów: rekonesans, eksploatację, wdrożenie agenta, utrzymanie trwałości oraz eksfiltrację danych. Botnet dynamicznie priorytetyzuje adresy i podsieci, które wcześniej odpowiadały na zapytania, co oznacza, że raz wykryta ekspozycja może być ponownie testowana w krótkich odstępach czasu.

Szczególne zainteresowanie wzbudzają publicznie dostępne usługi AI wystawione bez właściwego uwierzytelnienia. Dotyczy to zarówno interfejsów webowych, jak i narzędzi zdalnego wykonywania funkcji. W analizach pojawia się również wątek ekosystemu MCP, gdzie błędnie skonfigurowane wdrożenia mogą zwiększać powierzchnię ataku i umożliwiać wykonywanie poleceń za pośrednictwem narzędzi zdalnych.

NadMesh nie opiera się na jednym wektorze ataku. W obserwowanej aktywności pojawiają się próby wykorzystania otwartego Docker API, konsoli skryptowej Jenkinsa, nieautoryzowanego Redis, słabych haseł Telnet i SSH oraz wybranych podatności w usługach wystawionych do internetu. W praktyce daje to operatorom dużą elastyczność i pozwala atakować zarówno środowiska eksperymentalne, jak i źle zabezpieczone systemy produkcyjne.

Po skutecznym dostępie malware przechodzi do etapu kradzieży poświadczeń. Na szczególną uwagę zasługują:

  • zmienne środowiskowe zawierające sekrety,
  • tokeny kont serwisowych Kubernetes,
  • pliki .env,
  • konfiguracje AWS,
  • dane logowania do rejestrów kontenerów,
  • pliki konfiguracyjne Dockera i SSH.

Opisane próbki stosują również wiele mechanizmów persistence jednocześnie. Oznacza to, że usunięcie pojedynczego komponentu nie musi prowadzić do pełnej eliminacji zagrożenia. Dodatkowo obfuskacja i pakowanie utrudniają wykrywanie oparte wyłącznie na hashach plików, przez co klasyczne wskaźniki IOC mogą mieć ograniczoną skuteczność.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem działania NadMesh jest możliwość przejścia z poziomu pojedynczego hosta do poziomu całego środowiska chmurowego lub klastra Kubernetes. Kradzież kluczy AWS może umożliwić tworzenie nowych zasobów, dostęp do magazynów danych, modyfikację konfiguracji i dalszą eskalację uprawnień. Przejęcie tokenów Kubernetes może otworzyć drogę do workloadów, sekretów, usług wewnętrznych i procesów CI/CD.

Ryzyko jest szczególnie wysokie w organizacjach, które:

  • udostępniają narzędzia AI bez warstwy uwierzytelnienia,
  • uruchamiają usługi deweloperskie bezpośrednio w internecie,
  • przechowują sekrety w plikach tekstowych i zmiennych środowiskowych,
  • nie oddzielają środowisk testowych od produkcyjnych,
  • nadają kontom serwisowym nadmiarowe uprawnienia.

Nawet jeśli zainfekowany host nie przetwarza danych krytycznych, może pełnić rolę pomostu do znacznie cenniejszych systemów. To klasyczny scenariusz kompromitacji pośredniej, w którym publicznie dostępne narzędzie AI staje się furtką do infrastruktury organizacji.

Rekomendacje

Podstawowym krokiem obronnym powinno być ograniczenie ekspozycji usług do internetu. Interfejsy takie jak ComfyUI, Ollama, Gradio, n8n, Docker API, Jenkins Script Console, Redis czy rclone RC nie powinny być publicznie osiągalne bez silnego uwierzytelnienia, filtrowania źródeł ruchu i odpowiedniej segmentacji sieciowej.

W praktyce warto wdrożyć następujące działania:

  • przeprowadzić inwentaryzację publicznie wystawionych usług AI i narzędzi administracyjnych,
  • wyłączyć bezpośrednią ekspozycję usług deweloperskich do internetu,
  • wymusić uwierzytelnienie i autoryzację dla wszystkich zdalnych interfejsów,
  • rotować oraz ograniczać zakres kluczy chmurowych i tokenów kont serwisowych,
  • usunąć sekrety z plików .env i przenieść je do menedżerów sekretów,
  • włączyć monitoring dostępu do plików konfiguracyjnych i katalogów użytkowników,
  • aktualizować podatne komponenty, w tym narzędzia AI i usługi pomocnicze,
  • monitorować nietypowe wywołania API chmurowych oraz działania w klastrach Kubernetes,
  • wdrożyć zasadę najmniejszych uprawnień dla kont serwisowych i workloadów.

W przypadku podejrzenia kompromitacji samo usunięcie pliku binarnego nie jest wystarczające. Należy odizolować host, zidentyfikować mechanizmy persistence, a następnie unieważnić wszystkie poświadczenia, do których system mógł mieć dostęp. Dopiero po pełnym oczyszczeniu środowiska należy wydawać nowe klucze i tokeny oraz przeanalizować historię ich użycia.

Dodatkowo warto aktywnie poszukiwać artefaktów kompromitacji, takich jak nieautoryzowane wpisy w authorized_keys, podejrzane zadania cron czy nietypowe pliki w katalogach tymczasowych i pamięci współdzielonej.

Podsumowanie

NadMesh pokazuje, że publicznie wystawione usługi AI stały się pełnoprawnym elementem współczesnej powierzchni ataku. W tym modelu działania najcenniejszym zasobem nie jest sam host, lecz zapisane na nim poświadczenia, tokeny i konfiguracje umożliwiające ruch boczny do chmury oraz środowisk kontenerowych.

Dla zespołów bezpieczeństwa oznacza to konieczność traktowania narzędzi AI, interfejsów automatyzacji i usług deweloperskich z taką samą rygorystyczną kontrolą jak systemów produkcyjnych. Największym zagrożeniem pozostaje bowiem nie pojedyncza podatność, lecz połączenie ekspozycji, słabego uwierzytelnienia i nadmiernych uprawnień.

Źródła

  1. https://thehackernews.com/2026/07/new-nadmesh-botnet-hunts-exposed-ai.html
  2. https://censys.com/blog/mcp-servers-on-the-internet/
  3. https://nvd.nist.gov/vuln/detail/CVE-2026-41176
  4. https://forum.rclone.org/t/rclone-release-v1-73-5-important-security-fix/53700
  5. https://hivepro.com/wp-content/uploads/2026/05/CISA-KEV-April-2026.pdf