
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
NadMesh to nowo opisany botnet napisany w języku Go, którego operatorzy koncentrują się na przejmowaniu publicznie dostępnych usług AI, interfejsów administracyjnych oraz słabo zabezpieczonych elementów środowisk chmurowych i kontenerowych. W przeciwieństwie do klasycznych kampanii nastawionych głównie na DDoS lub cryptomining, NadMesh stawia na kradzież danych uwierzytelniających i sekretów infrastrukturalnych.
Najważniejszym celem atakujących są klucze dostępu do chmury, tokeny kont serwisowych Kubernetes, pliki konfiguracyjne oraz zmienne środowiskowe, które mogą otworzyć drogę do dalszej eskalacji uprawnień i poruszania się po infrastrukturze ofiary.
W skrócie
- NadMesh aktywnie skanuje internet w poszukiwaniu eksponowanych usług AI i narzędzi DevOps.
- Malware poluje na platformy takie jak ComfyUI, Ollama, n8n, Open WebUI, Langflow i Gradio.
- Po uzyskaniu dostępu wykrada pliki .env, konfiguracje AWS i Dockera oraz tokeny Kubernetes.
- Celem kampanii nie jest tylko przejęcie hosta, ale także uzyskanie dostępu do chmury, klastrów i procesów CI/CD.
- Zagrożenie może prowadzić do trwałej kompromitacji środowiska i nadużyć finansowych.
Kontekst / historia
Botnet został opisany w lipcu 2026 roku, a jego nazwa pochodzi od identyfikatora widocznego w kodzie kontrolera. Dostępne analizy wskazują, że aktywność kampanii nasiliła się na początku lipca, kiedy zaobserwowano wzrost skanowania infrastruktury dostępnej z internetu oraz prób infekcji.
Kampania wpisuje się w rosnący trend ataków na szybko wdrażane narzędzia AI, środowiska eksperymentalne i komponenty DevOps, które trafiają do sieci bez odpowiedniego uwierzytelniania, segmentacji i kontroli dostępu. Problem dotyczy szczególnie usług uruchamianych tymczasowo, które z czasem zaczynają działać jak elementy produkcyjne.
Analiza techniczna
Mechanizm działania NadMesh opiera się na ciągłym skanowaniu internetu i zasilaniu kolejki celów informacjami o widocznych usługach. Botnet priorytetyzuje środowiska związane z AI, ale wykorzystuje również bardziej tradycyjne powierzchnie ataku, takie jak otwarty Docker API, Jenkins Script Console, niezabezpieczony Redis, słabe hasła do Telnetu i SSH oraz wybrane podatności umożliwiające zdalne wykonanie kodu.
Na szczególną uwagę zasługują wdrożenia oparte na MCP. W analizowanych przypadkach wskazano wykorzystanie wywołań typu tools/call do uruchamiania poleceń, co w nieprawidłowo zabezpieczonych środowiskach może prowadzić do wykonania kodu po stronie ofiary. To istotne ryzyko, ponieważ część serwerów MCP pozostaje publicznie dostępna i oferuje narzędzia zdolne do wykonywania komend systemowych.
Po skutecznym uzyskaniu dostępu malware koncentruje się na ekstrakcji materiału poświadczającego. Celem są między innymi:
- klucze i profile AWS,
- tokeny kont serwisowych Kubernetes,
- sekrety zapisane w plikach .env,
- dane logowania do rejestrów kontenerów,
- konfiguracje Dockera,
- dostęp do modeli i narzędzi wykonawczych powiązanych z usługami AI.
NadMesh wykazuje również cechy bardziej dojrzałego zaplecza operacyjnego. Obserwacje wskazują na adaptacyjne ponowne skanowanie podsieci, częstsze odpytywanie najbardziej obiecujących hostów, próby omijania potencjalnych honeypotów oraz równoległe utrzymywanie kilku wersji agenta. Dodatkowo próbki są zaciemniane i pakowane, co utrudnia ich wykrywanie wyłącznie na podstawie hashy.
W aktywności operatorów pojawiają się także próby wykorzystania podatności, w tym CVE-2026-39987 w Marimo, a także innych wektorów związanych z publicznie dostępnymi komponentami administracyjnymi. To pokazuje, że NadMesh nie jest prostym skanerem usług AI, lecz hybrydową platformą do kompromitacji hostów, wykradania sekretów i dalszej eksploatacji środowiska.
Konsekwencje / ryzyko
Największe zagrożenie związane z NadMesh wynika z faktu, że wartością dla atakującego nie jest sam serwer, lecz zasoby, do których ten serwer ma dostęp. Kradzież poświadczeń chmurowych i tokenów Kubernetes może umożliwić przejęcie znacznie szerszego fragmentu infrastruktury niż pojedynczy host.
- przejęcie kont i zasobów w chmurze,
- uruchamianie nowych workloadów przez atakującego,
- dostęp do magazynów danych i sekretów,
- pivoting do innych klastrów i środowisk,
- kompromitację pipeline’ów CI/CD,
- nadużycia finansowe związane z wykorzystaniem zasobów obliczeniowych ofiary.
W praktyce nawet pozornie niewielka ekspozycja usługi AI może stać się punktem wejścia do poważnego incydentu obejmującego konta chmurowe, środowiska kontenerowe i łańcuch dostaw oprogramowania. Co istotne, początkowa infekcja może być mniej zauważalna niż późniejsze użycie skradzionych poświadczeń.
Rekomendacje
Organizacje korzystające z narzędzi AI, platform orkiestracyjnych i rozwiązań DevOps powinny pilnie zweryfikować swoją ekspozycję na internet oraz sposób przechowywania sekretów. W przypadku NadMesh kluczowe znaczenie ma ograniczenie dostępności usług oraz szybka rotacja poświadczeń znajdujących się na narażonych hostach.
- usunąć z publicznego internetu niezabezpieczone usługi ComfyUI, Ollama, Gradio, n8n, Open WebUI i podobne komponenty,
- zablokować publiczny dostęp do Docker API, Jenkins Script Console, Redis oraz innych interfejsów administracyjnych bez silnego uwierzytelniania,
- wymusić segmentację sieci oraz dostęp wyłącznie przez VPN, bastion host lub listy kontroli dostępu,
- przeprowadzić inwentaryzację sekretów zapisanych w plikach .env, konfiguracjach AWS i Docker oraz tokenach serwisowych Kubernetes,
- rotować i unieważniać wszystkie poświadczenia, które mogły znajdować się na potencjalnie naruszonych hostach,
- sprawdzić mechanizmy persistence, zadania cron, katalogi tymczasowe i pliki authorized_keys,
- wdrożyć monitoring aktywności w API chmurowych oraz działań kont serwisowych w Kubernetes,
- rozszerzyć patch management o narzędzia AI, notebooki i usługi pomocnicze używane przez zespoły inżynierskie,
- stosować zasadę najmniejszych uprawnień dla workloadów AI i usług wspierających,
- ograniczyć możliwość wykonywania komend przez narzędzia MCP i wymusić pełne uwierzytelnianie oraz autoryzację.
Jeśli kompromitacja została potwierdzona, należy odizolować host, usunąć mechanizmy trwałości, unieważnić wszystkie poświadczenia dostępne z poziomu tego systemu, a następnie przeanalizować logi IAM, logi chmurowe i zdarzenia kontenerowe pod kątem dalszego wykorzystania skradzionych danych dostępowych.
Podsumowanie
NadMesh pokazuje wyraźną zmianę priorytetów po stronie operatorów botnetów. Coraz częściej nie chodzi już o samą moc obliczeniową przejętych urządzeń, lecz o dostęp do sekretów, tożsamości maszynowych i uprawnień chmurowych, które pozwalają przejmować kolejne warstwy infrastruktury.
Dla zespołów bezpieczeństwa to sygnał, że publicznie dostępne usługi AI, interfejsy administracyjne oraz komponenty orkiestracyjne należy traktować jak krytyczną powierzchnię ataku. Brak kontroli nad tym obszarem może prowadzić do incydentów o znacznie większej skali niż początkowa infekcja pojedynczego hosta.