Sysdig описала JADEPUFFER — LLM-агента, который довел взлом Langflow до вымогательства

Sysdig Threat Research Team сообщила об атаке JADEPUFFER, которую считает первым задокументированным примером ransomware-операции, выполненной LLM-агентом от начала до конца. Атака началась с уязвимости CVE-2025-3248 в Langflow, а закончилась шифрованием 1 342 записей конфигурации Nacos и удалением таблиц в MySQL; ключ при этом не сохранялся, поэтому выкуп не помог бы восстановить данные.

Компания Sysdig, специализирующаяся на облачной безопасности, опубликовала отчет об атаке JADEPUFFER, которую ее исследовательская группа считает первым задокументированным случаем агентного вымогательства: разведка, сбор учетных данных, перемещение внутри инфраструктуры, закрепление и уничтожение данных выполнялись LLM-агентом, а не человеком за клавиатурой. Пострадавшая организация в отчете не названа, поэтому формулировка о первом таком случае остается оценкой Sysdig.

Первичный доступ был получен через CVE-2025-3248 в Langflow — open source-фреймворке для создания LLM-приложений и агентных сценариев. NVD описывает уязвимость как удаленное выполнение кода без аутентификации в endpoint /api/v1/validate/code в версиях Langflow до 1.3.0; CISA добавила ее в каталог известных эксплуатируемых уязвимостей еще 5 мая 2025 года.

После компрометации интернет-доступного экземпляра Langflow агент искал в окружении ключи к AI-провайдерам, облачные учетные данные, конфигурации баз данных и другие секреты, выгружал данные из внутренней Postgres-базы Langflow, перебирал доступные сервисы и использовал дефолтные учетные данные MinIO. Затем, по данным Sysdig, JADEPUFFER вышел на отдельный production-сервер с MySQL и Alibaba Nacos — платформой service discovery и динамической конфигурации для микросервисов.

Одним из главных признаков LLM-управления Sysdig называет поведение при ошибках. После неудачной попытки создать администратора Nacos агент за 31 секунду отправил исправленный payload: удалил некорректную учетную запись, изменил способ генерации bcrypt-хеша и заново создал пользователя. В payload также встречались подробные комментарии на естественном языке, объясняющие выбор целей и последовательность действий.

Финальная фаза выглядела как database extortion. Агент зашифровал 1 342 записи конфигурации Nacos через MySQL AES_ENCRYPT(), удалил исходные таблицы и создал таблицу README_RANSOM с требованием выкупа, Bitcoin-адресом и контактом Proton Mail. При этом ключ шифрования был сгенерирован случайно, выведен один раз в stdout и, по наблюдениям Sysdig, не был сохранен или отправлен оператору, так что выплата выкупа не позволила бы восстановить конфигурации.

Практический вывод отчета не в появлении принципиально новых техник, а в автоматизации старых ошибок: публичные code-execution endpoint'ы, не обновленный Langflow, секреты в окружении web-сервиса, дефолтные пароли, привилегированный доступ MySQL и слабая изоляция Nacos. Sysdig рекомендует обновить Langflow, не выставлять такие сервисы напрямую в интернет, убирать секреты из окружения приложений, ограничивать административные порты, ротировать учетные данные и контролировать исходящие соединения с скомпрометированных хостов.

Источник: sysdig.com

Связь с редакцией