网易首页 > 网易号 > 正文 申请入驻

新型僵尸网络NadMesh横扫AI服务:3811个唯一AWS密钥失窃,K8s令牌批量遭劫

0
分享至

七月初,一个名叫NadMesh的Go语言僵尸网络悄然上线,它的目标不是普通服务器,而是那些匆忙上线、防护薄弱的AI服务。图像生成工具ComfyUI、本地模型运行器Ollama、工作流自动化平台n8n、聊天界面Open WebUI、低代码AI工作台Langflow、机器学习应用框架Gradio——但凡团队为了快速验证想法、先跑起来再说,防火墙随手关上后就不管了的,全成了它的猎物。Shodan扫描器源源不断地把这些暴露在公网的AI服务塞进队列,24小时不停,而操作者自己的控制面板上赫然跳出一个数字:3811个唯一的AWS密钥已经落袋。

这个数字来自奇安信XLab在上周五发布的一份报告。研究团队从NadMesh源码里扒出了“n4d mesh controller”字串,顺手给它起了个名字,还截图了操作面板。面板上的数据全是操作者自己记的账,抓取时间是7月10日,但前后矛盾得让人哭笑不得。一个17,700“总部署”的计数器,下面紧挨着一条“过去24小时95,700”的漏斗,差出去将近五倍。一张小卡片写着16个活跃bot,旁边那张写着12。唯一前后对得上、说了两次的,就是那个3811个AWS密钥的数量。XLab用自己的传感器看外面的动静,给出的也不是bot数目,而是推送NadMesh的独立源IP——6月下旬还几乎为零,7月第一周直接垂直拉升到每天大约139个。


这波扫荡不是冲着挖矿或者植入后门去的。研究人员说得直白:操作者盯着的是“主机本身之外的云凭据和Kubernetes集群权限”。被劫走的包括环境变量里的云密钥、k8s服务账户令牌,还有~/.aws/config、.env、~/.docker/config.json这类配置文件里的敏感信息。模型访问权限和可调用的MCP工具也在清单上。在最近100条情报记录里,47次凭据收割和41次模型资产盘点,直接反映出对手的意图——人家要的就是登堂入室的钥匙,不是门口的花盆。

那些被盘点的模型清单里出现了DeepSeek、GLM、Kimi这些名字,后缀还挂着“:cloud”。也就是说,NadMesh扫描到的远不止盒子本身,而是顺着算力节点摸到了背后的云端资源。算力、模型、凭据,三样打包在一起,就成了一个高权限入口。一旦拿到Kubernetes服务账户令牌,就能横向移动、劫持集群、偷跑模型推理,甚至篡改工作负载。

攻击优先级列表上,排在最前面的就是MCP。在控制器的漏洞利用顺序中,MCP被放在Kubernetes、Docker API、Redis之前,对应的利用方式是JSON-RPC tools/call里的execute_command。XLab在图表中标注了这一项,但这一行并没有挂任何CVE编号,报告也没有声称这是个已知漏洞。问题出在MCP本身的协议设计上——它的第一版规范把身份验证彻底甩在了核心协议外面。2025年3月补上来的授权流程,按规范自己的说法,仍然是可选功能。大量部署直接跳过了认证这一步。截至4月28日,Censys扫描到8,758个IP地址上暴露了12,520个可访问的MCP服务;到了5月6日就突破21,000个;其中大约90个公开了能运行命令的工具。有39个工具的名字就叫execute_command,跟NadMesh优先调用表里的头号目标一字不差。

但NadMesh自己面板上的MCP统计也是一笔糊涂账:列出了12,100个“可利用”的MCP服务,总计21个MCP漏洞,然而旁边屏幕上的100条情报记录里却愣是一个都没出现。XLab索性不看操作者自报的账,直接去观测真实的攻击流量。结果发现,docker_containers_api_rce占了30.31%,jenkins_scripttext_rce占了22.28%,Telnet弱口令10.36%,Redis 8.29%。mcp_cmd_execute虽然出现在图表里,但挂在没标名字的最小份额末端,比例不到0.78%。流量分布跟控制面板上的优先级刚好掉了个个儿。

这种错位说明了两件事。一是攻击者手里已经握着大量已知的老漏洞利用工具,自动化扫一遍,谁不关门就进谁。二是MCP虽然被当成新型攻击面重点照顾,但眼下真正的突破大多数还在走Docker和Jenkins那条路。然而,MCP部署的爆炸式增长——两个月内从一万多跳升到两万多——加上认证几乎为零的现实,意味着NadMesh这类专门针对AI链条的新一代僵尸网络,迟早会把execute_command推到更靠前的位置。毕竟,一个能直接调用工具执行命令的接口,在攻击者眼里比单纯挖矿诱人得多。

XLab的报告还拆了一个战术细节:NadMesh并不是一上来就自己扫。它用Shodan收割机维持扫描队列,专挑暴露的AI服务下手。从ComfyUI到Gradio,这些框架大多在设计时优先考虑易用性和快速集成,安全配置往往被放在最后一步,或者干脆略过。团队急着看效果,模型跑通了、界面亮了,任务栏里一关,防火墙和认证忘得一干二净。而NadMesh要的就是这种“先上线,后防御”缝隙里的那些轻率。

回传的数据包里,最先被抓走的是环境变量中的云密钥和Kubernetes服务账户令牌。这些密钥一旦泄露,攻击者就能以合法身份访问AWS、Azure、GCP等云服务,启动实例、复制数据、偷跑模型推理,甚至用受害者的算力去挖矿或发起下一次攻击。k8s令牌则直接赋予集群内部权限,让攻击者在容器间横向移动,找到挂载的敏感存储卷。再加上从~/.aws/config、.env和~/.docker/config.json拿到的配置文件信息,对手等于一次性拿到了云、容器、模型三层钥匙。

更深一层的是模型访问权限和MCP工具的调用能力。有了模型凭证,攻击者可以直接调用商业API接口,消耗受害者的额度,或者窃取模型交互记录,提取训练数据、系统提示词等核心资产。MCP的可调用工具如果是execute_command这种类型,就等于在受害者环境下获得了一个远程命令执行的入口。虽然目前实际观测到的mcp_cmd_execute流量只占不到0.78%,但操作者把它放在利用优先级第一位,说明这个攻击面正在被重点盯防。

奇安信XLab用自己的传感网络确认了一件事:推送NadMesh的独立源IP数,在6月下旬几乎为零,7月第一周突然跳到每天约139个。这个曲线说明的不是感染规模,而是分发强度——攻击者正在高速扩军。不到一周时间,每日投放量就从无到有、拉出一条垂直线。面板上虽然矛盾重重,但“17,700总部署”这个数如果哪怕只有一部分真实,意味着已有上万个主机沦陷。而那3811个AWS密钥如果确有其数,背后对应的云资产规模足以让人后背一凉。

整份情报暴露出一个老问题的新变种:AI时代的快速试错,让大量服务带着默认配置和未加固端口直接暴露在公网上。NadMesh这类专门化僵尸网络就是看准了这一点,不再广撒网式地乱扫,而是聚焦AI栈的每个薄弱环节——从模型服务到工作流引擎,再到身份令牌。操作者并不关心宿主机本身,他们要的是以被入侵AI服务为跳板,拿到通向云计算和Kubernetes集群的控制权。一旦成功,就能在云上复刻更多攻击节点,形成链式扩散。

MCP协议的认证缺陷把这种风险放到了最大。标准制定者把安全问题留给实现方,而实现方在快速部署的压力下又选择了最省事的方案——跳过认证。Censys的数据已经说明,暴露在公网的MCP服务数量正在指数级爬坡。除非出现一个默认开启认证的版本,并且被广泛采纳,否则NadMesh的下一个版本很可能把mcp_cmd_execute的流量份额从0.78%推到30%以上,那会儿再补课,成本就完全不一样了。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
最伤身的4种早餐,牛奶鸡蛋竟上榜,吃一顿毁一天!很多人都中招

最伤身的4种早餐,牛奶鸡蛋竟上榜,吃一顿毁一天!很多人都中招

白米饭怎么吃
2026-07-18 12:27:42
历史首次!社保主动买套,社保买进31个龙头,逆势暴跌40%被套

历史首次!社保主动买套,社保买进31个龙头,逆势暴跌40%被套

鹏哥投研
2026-07-18 11:49:55
入行前后判若两人,网约车司机活成这般模样

入行前后判若两人,网约车司机活成这般模样

网约车观察室
2026-06-03 21:41:43
6艘美国军舰撤出中东,不管伊朗直奔南海,美媒:要阻止中国行动

6艘美国军舰撤出中东,不管伊朗直奔南海,美媒:要阻止中国行动

小小科普员
2026-07-17 16:08:00
53度飞天茅台再调价,i茅台零售价调整至1639元/瓶

53度飞天茅台再调价,i茅台零售价调整至1639元/瓶

新京报
2026-07-18 09:55:07
世卫组织推荐的肌肉不流失四大黄金法则,照着做,准没错

世卫组织推荐的肌肉不流失四大黄金法则,照着做,准没错

观星赏月
2026-06-18 15:29:58
NBA全明星马布里钱挣够家却散,甘当湖北女婿住岳父母家

NBA全明星马布里钱挣够家却散,甘当湖北女婿住岳父母家

手工制作阿歼
2026-06-28 01:51:27
伊朗伊斯兰革命卫队:摧毁多架美军军机

伊朗伊斯兰革命卫队:摧毁多架美军军机

新华社
2026-07-17 17:53:16
出狱后的雷政富沧桑感袭面而来,前后对比引人唏嘘

出狱后的雷政富沧桑感袭面而来,前后对比引人唏嘘

霹雳炮
2026-03-14 22:49:47
面相师傅:无论男女,眉心有竖纹,预示着你后半生的3种命运

面相师傅:无论男女,眉心有竖纹,预示着你后半生的3种命运

卡西莫多的故事
2026-02-02 11:46:25
乌克兰新总理组建的内阁成员公布,最年轻的90后国防部长跟乌军总司令不合,泽连斯基总统忍痛解职防长

乌克兰新总理组建的内阁成员公布,最年轻的90后国防部长跟乌军总司令不合,泽连斯基总统忍痛解职防长

史座y
2026-07-17 20:24:49
王毅会见印尼经济统筹部长艾尔朗加

王毅会见印尼经济统筹部长艾尔朗加

界面新闻
2026-07-18 16:03:12
伊能静发长文告别综艺,官宣儿子恩利新单曲

伊能静发长文告别综艺,官宣儿子恩利新单曲

手工制作阿歼
2026-07-18 14:07:16
西方想不明白:中国人夏天敢开空调?为何十几亿人可以一起用电?

西方想不明白:中国人夏天敢开空调?为何十几亿人可以一起用电?

混沌录
2026-07-17 20:17:10
人贩子彭洪菊,逃亡中被卖深山折磨12年,被捕时哭诉:你们怎么才来

人贩子彭洪菊,逃亡中被卖深山折磨12年,被捕时哭诉:你们怎么才来

从零到一研究所
2026-07-17 11:13:46
蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

一口娱乐
2026-07-17 11:02:59
撤销学位不到一天,贾浅浅再迎两大噩耗,父亲贾平凹的老底也被扒

撤销学位不到一天,贾浅浅再迎两大噩耗,父亲贾平凹的老底也被扒

趣文说娱
2026-07-16 15:25:46
家里托关系找的工作有多离谱?

家里托关系找的工作有多离谱?

康富贵碎碎念
2026-07-17 12:15:28
周星驰问张艺兴:下回我还找你拍戏,零片酬行吗,张艺兴回应显情商

周星驰问张艺兴:下回我还找你拍戏,零片酬行吗,张艺兴回应显情商

老吴教育课堂
2026-07-18 13:23:47
安妮·海瑟薇挺孕肚亮相《奥德赛》首映 礼服惊艳全场

安妮·海瑟薇挺孕肚亮相《奥德赛》首映 礼服惊艳全场

3DM游戏
2026-07-17 17:29:03
2026-07-18 16:40:49
码上闲叙
码上闲叙
有态度网友ytd
285文章数 71关注度
往期回顾 全部

科技要闻

WAIC2026看什么?这份"不迷路"攻略请收好

头条要闻

男子八战清华终上岸:曾被女子骗100多万 为赚钱做保洁

头条要闻

男子八战清华终上岸:曾被女子骗100多万 为赚钱做保洁

体育要闻

德尚是非典型法国人 14年执教留下丰厚遗产

娱乐要闻

大S给具俊晔留遗产是昏头?实际上她清醒得很

财经要闻

股民当街砍博主!韩国股市 终极大屠杀

汽车要闻

把中国超跑卖到英国,比亚迪正在被世界看见

态度原创

家居
游戏
旅游
手机
公开课

家居要闻

2026建博会(广州) 公装联探展交流活动

《古剑》线下试玩报告:老大,俺最近又有长进"/> 主站 商城 论坛 自运营 登录 注册 《古剑》线下试玩报告:老大,俺最近又有长进 Marv...

旅游要闻

在福鼎嵛山看见海岛振兴的模样

手机要闻

三星One UI 9版My FanCam曝光:AI智能追踪视频拍摄主体

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版