บอท NadMesh ค้นพบคีย์ AWS และโทเค็น Kubernetes จากบริการ AI เปิดเผยบนคลาวด์

ที่มาภาพ: The Hacker News

AI-อ่าน 7 นาทีThe Hacker News

บอท NadMesh ค้นพบคีย์ AWS และโทเค็น Kubernetes จากบริการ AI เปิดเผยบนคลาวด์

⚡ สรุป 30 วิ

บอท NadMesh เขียนด้วยภาษา Go สแกนบริการ AI ที่เปิดเผยบนอินเทอร์เน็ต เก็บคีย์ AWS จำนวน 3,811 คีย์และโทเค็น Kubernetes เพื่อนำไปโจมตีระบบคลาวด์

การตรวจพบ บอทเน็ต ชนิดใหม่ที่ใช้ภาษา Go ชื่อ NadMesh ในช่วงต้นเดือนกรกฎาคม ทำให้ผู้ดูแลระบบเครือข่ายต้องตระหนักถึงความเสี่ยงจากการเปิดเผยบริการ AI บนคลาวด์ โดยบอทนี้สามารถสแกนและรวบรวมคีย์ AWS ที่ไม่ได้รับการป้องกันได้กว่า 3,811 คีย์ รวมถึงโทเค็นของ Kubernetes ซึ่งเป็นข้อมูลที่ผู้โจมตีสามารถนำไปใช้ในการเข้าถึงทรัพยากรสำคัญได้

Overview

บอทเน็ต NadMesh ถูกพัฒนาขึ้นด้วยภาษา Go และเริ่มทำงานสแกนหาบริการ AI ที่เปิดเผยต่อสาธารณะตั้งแต่ต้นเดือนกรกฎาคม รายงานจาก The Hacker News ระบุว่าแดชบอร์ดของผู้ดำเนินการแสดงจำนวนคีย์ AWS ที่เก็บได้ถึง 3,811 คีย์ ซึ่งหมายความว่ามีเครื่องเซิร์ฟเวอร์หลายพันเครื่องที่เปิดเผยข้อมูลสำคัญโดยไม่ได้ตั้งใจ

กระบวนการสแกนของ NadMesh เชื่อมต่อกับระบบ Shodan เพื่อดึงรายการเป้าหมายเข้าสู่คิวสแกนอย่างต่อเนื่อง การใช้ Shodan ทำให้บอทสามารถเข้าถึงเครื่องที่มีบริการ AI เปิดเผยบนอินเทอร์เน็ตได้โดยอัตโนมัติและเพิ่มประสิทธิภาพการเก็บข้อมูล

จากมุมมองด้านความปลอดภัย การพบเจอบอทเน็ตชนิดนี้สะท้อนให้เห็นว่าการตั้งค่าเริ่มต้นของหลายแพลตฟอร์ม AI ยังไม่เพียงพอในการปกป้องคีย์และโทเค็นที่สำคัญ ผู้ดูแลระบบจึงต้องตรวจสอบการกำหนดค่าความปลอดภัยอย่างละเอียดก่อนเปิดบริการสู่ภายนอก

Targeted Services

บอท NadMesh มุ่งเน้นไปยังบริการ AI ที่มักถูกติดตั้งเพื่อทดลองหรือพัฒนาโมเดลในระดับองค์กรหรือทีมเล็ก ๆ ซึ่งรวมถึง:

  • ComfyUI – อินเทอร์เฟซสำหรับสร้างภาพจากโมเดล Stable Diffusion
  • Ollama – ตัวรันโมเดลภายในเครื่องที่รองรับหลายรูปแบบการทำงาน
  • n8n – ระบบเวิร์กโฟลว์อัตโนมัติที่เชื่อมต่อกับ AI ต่าง ๆ
  • Open WebUI – แดชบอร์ดเปิดสำหรับจัดการโมเดลและข้อมูลผลลัพธ์
  • Langflow – เครื่องมือสร้างแอปพลิเคชันภาษาแบบ Low‑Code
  • Gradio – เฟรมเวิร์กสำหรับสร้าง UI ของโมเดล AI อย่างรวดเร็ว

บริการเหล่านี้มักถูกติดตั้งบนเครื่องเสมือนหรือคอนเทนเนอร์ที่ไม่มีการกำหนดค่าไฟร์วอลล์อย่างเคร่งครัด ทำให้พอร์ตที่ใช้บริการเปิดเผยต่อสาธารณะเป็นช่องทางเข้าไปยังระบบได้ง่าย

Mechanism of Harvesting

บอท NadMesh ใช้ขั้นตอนหลายระดับในการเก็บคีย์และโทเค็น เมื่อพบเครื่องที่รันบริการ AI ที่ระบุไว้ ระบบจะทำการตรวจสอบว่ามีไฟล์หรือค่า environment variable ที่บรรจุข้อมูล AWS Access Key, Secret Key หรือ Kubernetes Service Account Token อยู่หรือไม่

หากตรวจจับได้ บอทจะส่งข้อมูลเหล่านั้นกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) ของผู้โจมตีโดยใช้การเข้ารหัสแบบ TLS เพื่อหลีกเลี่ยงการตรวจสอบจากระบบ IDS/IPS การสแกนต่อเนื่องทำให้ NadMesh สามารถสะสมข้อมูลได้จำนวนมากในระยะเวลาสั้น ๆ

กระบวนการนี้ยังอาศัยการเรียก API ของบริการ AI เพื่อตรวจสอบว่ามีการเชื่อมต่อกับคลาวด์ผู้ให้บริการใด เช่น AWS หรือ GCP อยู่หรือไม่ หากพบคีย์ที่สามารถใช้ในการเข้าถึงทรัพยากรคลาวด์ได้ ระบบจะบันทึกและส่งต่อทันที

Analysis

จากข้อมูลที่เปิดเผย การโจมตีด้วย NadMesh แสดงถึงแนวโน้มใหม่ของผู้โจมตีที่ให้ความสนใจต่อ AI‑driven infrastructure มากกว่าการเจาะระบบแบบดั้งเดิม ผู้โจมตีเห็นคุณค่าในคีย์คลาวด์และโทเค็น Kubernetes เนื่องจากสามารถใช้เพื่อรันงานคำนวณหนักหรือขโมยทรัพยากรที่เกี่ยวข้องกับ AI ได้โดยตรง

การผสานรวมระหว่าง Shodan กับบอททำให้กระบวนการสแกนมีความอัตโนมัติสูงและครอบคลุมอย่างกว้างขวาง ซึ่งอาจทำให้จำนวนเครื่องเป้าหมายเพิ่มขึ้นเป็นหลายพันเครื่องต่อวัน การเปิดเผยคีย์ AWS จำนวน 3,811 คีย์ในแดชบอร์ดของผู้ดำเนินการแสดงถึงระดับความรุนแรงที่สูงและอาจส่งผลกระทบต่อค่าใช้จ่ายคลาวด์ขององค์กรอย่างมาก

นอกจากนี้ โทเค็น Kubernetes ที่ถูกขโมยสามารถนำไปสู่การเข้าถึง cluster ทั้งหมด ทำให้ข้อมูลลับหรือโครงสร้างพื้นฐานภายในถูกควบคุมโดยผู้ไม่ประสงค์ดี การโจมตีในรูปแบบนี้อาจทำให้เกิดเหตุการณ์ cloud‑resource hijacking หรือแม้กระทั่งการฝัง backdoor ภายในระบบ CI/CD

Impact and Recommendations

องค์กรที่ใช้งานบริการ AI เปิดเผยต่ออินเทอร์เน็ตควรเร่งตรวจสอบและปิดพอร์ตที่ไม่จำเป็นโดยใช้ไฟร์วอลล์ระดับแอปพลิเคชันหรือ security groups ของคลาวด์ การกำหนดค่า IAM อย่างเข้มงวด เช่น ไม่ให้คีย์ AWS ถูกเก็บใน environment variable ที่เข้าถึงได้จากภายนอก เป็นแนวทางพื้นฐานที่ควรทำ

นอกจากนี้ ควรใช้เครื่องมือสแกนความเปราะบางของ container orchestration platforms เพื่อค้นหาโทเค็น Kubernetes ที่อาจหลงเหลืออยู่ การเปิดใช้งาน audit logging บน AWS และ Kubernetes จะช่วยให้สามารถตรวจจับการเข้าถึงที่ผิดปกติได้เร็วขึ้น

องค์กรควรพิจารณาติดตั้งระบบ Zero Trust Network Access (ZTNA) หรือใช้ service mesh** ที่มีความสามารถในการตรวจสอบและจำกัดการเชื่อมต่อระหว่างบริการ AI กับคลาวด์อย่างละเอียด การอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดและปิดช่องโหว่ที่เกี่ยวข้องกับบริการ AI อย่างสม่ำเสมอก็เป็นสิ่งสำคัญ

Summary

บอทเน็ต NadMesh แสดงให้เห็นว่าการเปิดเผยบริการ AI บนคลาวด์ยังคงเป็นเป้าหมายสำคัญของผู้โจมตี โดยสามารถเก็บคีย์ AWS มากกว่า 3,800 คีย์และโทเค็น Kubernetes ได้อย่างรวดเร็ว การตรวจสอบการกำหนดค่า ความปลอดภัยของพอร์ต และการจัดการคีย์เป็นขั้นตอนที่จำเป็นเพื่อป้องกันความเสี่ยงดังกล่าว.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
New NadMesh Botnet Hunts Exposed AI Services for Cloud Keys and Kubernetes Tokens
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
18 กรกฎาคม 2569 เวลา 00:12

Related

บทความที่เกี่ยวข้อง

CEO JPMorgan เตือน Claude Mythos ของ Anthropic อาจเป็นอาวุธขีปนาวุธบอลิสติกAI
-

CEO JPMorgan เตือน Claude Mythos ของ Anthropic อาจเป็นอาวุธขีปนาวุธบอลิสติก

JPMorgan CEO แจมมี่ ดิมอน บ่งชี้โมเดล AI Claude Mythos ของ Anthropic มีศักยภาพสร้าง exploit และอาจกลายเป็นอาวุธดิจิทัล หากไม่มีการควบคุมอย่างเข้มงวด…

TechRadar6 นาที
Google เปิด Pics แก้ภาพด้วย AI บน Workspace เริ่ม 18 สิงหาคม 2024AI
19 กรกฎาคม 2569 เวลา 09:00

Google เปิด Pics แก้ภาพด้วย AI บน Workspace เริ่ม 18 สิงหาคม 2024

Google จะเปิดให้ฟีเจอร์ Pics ซึ่งเป็นเครื่องมือแก้และสร้างภาพด้วย AI ใช้งานใน Google Workspace ตั้งแต่ 18‑8‑2024 ทั้งธุรกิจและสถาบันการศึกษา…

TechRadar6 นาที
เกาหลีใต้เร่งพัฒนาโมเดล AI เพื่อความปลอดภัยไซเบอร์ ภายในปี 2569AI
19 กรกฎาคม 2569 เวลา 07:30

เกาหลีใต้เร่งพัฒนาโมเดล AI เพื่อความปลอดภัยไซเบอร์ ภายในปี 2569

เกาหลีใต้ประกาศสร้างโมเดล AI ที่มุ่งเน้นการตรวจจับและป้องกันช่องโหว่ไซเบอร์ เพื่อเสริมอธิปไตยดิจิทัลของประเทศ โมเดลคาดว่าจะเปิดให้ใช้ภายในปี 2569.

The Register6 นาที
แม้ Codex จะดีกว่า Claude Code ทางเทคนิคร่วมกับ AI ผู้อ่านจึงหยุดใช้ด้วยเหตุผลสำคัญหนึ่งเดียวAI
19 กรกฎาคม 2569 เวลา 00:00

แม้ Codex จะดีกว่า Claude Code ทางเทคนิคร่วมกับ AI ผู้อ่านจึงหยุดใช้ด้วยเหตุผลสำคัญหนึ่งเดียว

ในปี 2026 AI ช่วยให้ผู้พัฒนาสร้างแอปได้เร็วขึ้น แม้ Codex จะมีความแม่นยำและประสิทธิภาพสูงกว่า Claude Code…

XDA Developers7 นาที
คัดลอกลิงก์แล้ว!