
ที่มาภาพ: The Hacker News
บอท NadMesh ค้นพบคีย์ AWS และโทเค็น Kubernetes จากบริการ AI เปิดเผยบนคลาวด์
⚡ สรุป 30 วิ
บอท NadMesh เขียนด้วยภาษา Go สแกนบริการ AI ที่เปิดเผยบนอินเทอร์เน็ต เก็บคีย์ AWS จำนวน 3,811 คีย์และโทเค็น Kubernetes เพื่อนำไปโจมตีระบบคลาวด์
การตรวจพบ บอทเน็ต ชนิดใหม่ที่ใช้ภาษา Go ชื่อ NadMesh ในช่วงต้นเดือนกรกฎาคม ทำให้ผู้ดูแลระบบเครือข่ายต้องตระหนักถึงความเสี่ยงจากการเปิดเผยบริการ AI บนคลาวด์ โดยบอทนี้สามารถสแกนและรวบรวมคีย์ AWS ที่ไม่ได้รับการป้องกันได้กว่า 3,811 คีย์ รวมถึงโทเค็นของ Kubernetes ซึ่งเป็นข้อมูลที่ผู้โจมตีสามารถนำไปใช้ในการเข้าถึงทรัพยากรสำคัญได้
Overview
บอทเน็ต NadMesh ถูกพัฒนาขึ้นด้วยภาษา Go และเริ่มทำงานสแกนหาบริการ AI ที่เปิดเผยต่อสาธารณะตั้งแต่ต้นเดือนกรกฎาคม รายงานจาก The Hacker News ระบุว่าแดชบอร์ดของผู้ดำเนินการแสดงจำนวนคีย์ AWS ที่เก็บได้ถึง 3,811 คีย์ ซึ่งหมายความว่ามีเครื่องเซิร์ฟเวอร์หลายพันเครื่องที่เปิดเผยข้อมูลสำคัญโดยไม่ได้ตั้งใจ
กระบวนการสแกนของ NadMesh เชื่อมต่อกับระบบ Shodan เพื่อดึงรายการเป้าหมายเข้าสู่คิวสแกนอย่างต่อเนื่อง การใช้ Shodan ทำให้บอทสามารถเข้าถึงเครื่องที่มีบริการ AI เปิดเผยบนอินเทอร์เน็ตได้โดยอัตโนมัติและเพิ่มประสิทธิภาพการเก็บข้อมูล
จากมุมมองด้านความปลอดภัย การพบเจอบอทเน็ตชนิดนี้สะท้อนให้เห็นว่าการตั้งค่าเริ่มต้นของหลายแพลตฟอร์ม AI ยังไม่เพียงพอในการปกป้องคีย์และโทเค็นที่สำคัญ ผู้ดูแลระบบจึงต้องตรวจสอบการกำหนดค่าความปลอดภัยอย่างละเอียดก่อนเปิดบริการสู่ภายนอก
Targeted Services
บอท NadMesh มุ่งเน้นไปยังบริการ AI ที่มักถูกติดตั้งเพื่อทดลองหรือพัฒนาโมเดลในระดับองค์กรหรือทีมเล็ก ๆ ซึ่งรวมถึง:
- ComfyUI – อินเทอร์เฟซสำหรับสร้างภาพจากโมเดล Stable Diffusion
- Ollama – ตัวรันโมเดลภายในเครื่องที่รองรับหลายรูปแบบการทำงาน
- n8n – ระบบเวิร์กโฟลว์อัตโนมัติที่เชื่อมต่อกับ AI ต่าง ๆ
- Open WebUI – แดชบอร์ดเปิดสำหรับจัดการโมเดลและข้อมูลผลลัพธ์
- Langflow – เครื่องมือสร้างแอปพลิเคชันภาษาแบบ Low‑Code
- Gradio – เฟรมเวิร์กสำหรับสร้าง UI ของโมเดล AI อย่างรวดเร็ว
บริการเหล่านี้มักถูกติดตั้งบนเครื่องเสมือนหรือคอนเทนเนอร์ที่ไม่มีการกำหนดค่าไฟร์วอลล์อย่างเคร่งครัด ทำให้พอร์ตที่ใช้บริการเปิดเผยต่อสาธารณะเป็นช่องทางเข้าไปยังระบบได้ง่าย
Mechanism of Harvesting
บอท NadMesh ใช้ขั้นตอนหลายระดับในการเก็บคีย์และโทเค็น เมื่อพบเครื่องที่รันบริการ AI ที่ระบุไว้ ระบบจะทำการตรวจสอบว่ามีไฟล์หรือค่า environment variable ที่บรรจุข้อมูล AWS Access Key, Secret Key หรือ Kubernetes Service Account Token อยู่หรือไม่
หากตรวจจับได้ บอทจะส่งข้อมูลเหล่านั้นกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) ของผู้โจมตีโดยใช้การเข้ารหัสแบบ TLS เพื่อหลีกเลี่ยงการตรวจสอบจากระบบ IDS/IPS การสแกนต่อเนื่องทำให้ NadMesh สามารถสะสมข้อมูลได้จำนวนมากในระยะเวลาสั้น ๆ
กระบวนการนี้ยังอาศัยการเรียก API ของบริการ AI เพื่อตรวจสอบว่ามีการเชื่อมต่อกับคลาวด์ผู้ให้บริการใด เช่น AWS หรือ GCP อยู่หรือไม่ หากพบคีย์ที่สามารถใช้ในการเข้าถึงทรัพยากรคลาวด์ได้ ระบบจะบันทึกและส่งต่อทันที
Analysis
จากข้อมูลที่เปิดเผย การโจมตีด้วย NadMesh แสดงถึงแนวโน้มใหม่ของผู้โจมตีที่ให้ความสนใจต่อ AI‑driven infrastructure มากกว่าการเจาะระบบแบบดั้งเดิม ผู้โจมตีเห็นคุณค่าในคีย์คลาวด์และโทเค็น Kubernetes เนื่องจากสามารถใช้เพื่อรันงานคำนวณหนักหรือขโมยทรัพยากรที่เกี่ยวข้องกับ AI ได้โดยตรง
การผสานรวมระหว่าง Shodan กับบอททำให้กระบวนการสแกนมีความอัตโนมัติสูงและครอบคลุมอย่างกว้างขวาง ซึ่งอาจทำให้จำนวนเครื่องเป้าหมายเพิ่มขึ้นเป็นหลายพันเครื่องต่อวัน การเปิดเผยคีย์ AWS จำนวน 3,811 คีย์ในแดชบอร์ดของผู้ดำเนินการแสดงถึงระดับความรุนแรงที่สูงและอาจส่งผลกระทบต่อค่าใช้จ่ายคลาวด์ขององค์กรอย่างมาก
นอกจากนี้ โทเค็น Kubernetes ที่ถูกขโมยสามารถนำไปสู่การเข้าถึง cluster ทั้งหมด ทำให้ข้อมูลลับหรือโครงสร้างพื้นฐานภายในถูกควบคุมโดยผู้ไม่ประสงค์ดี การโจมตีในรูปแบบนี้อาจทำให้เกิดเหตุการณ์ cloud‑resource hijacking หรือแม้กระทั่งการฝัง backdoor ภายในระบบ CI/CD
Impact and Recommendations
องค์กรที่ใช้งานบริการ AI เปิดเผยต่ออินเทอร์เน็ตควรเร่งตรวจสอบและปิดพอร์ตที่ไม่จำเป็นโดยใช้ไฟร์วอลล์ระดับแอปพลิเคชันหรือ security groups ของคลาวด์ การกำหนดค่า IAM อย่างเข้มงวด เช่น ไม่ให้คีย์ AWS ถูกเก็บใน environment variable ที่เข้าถึงได้จากภายนอก เป็นแนวทางพื้นฐานที่ควรทำ
นอกจากนี้ ควรใช้เครื่องมือสแกนความเปราะบางของ container orchestration platforms เพื่อค้นหาโทเค็น Kubernetes ที่อาจหลงเหลืออยู่ การเปิดใช้งาน audit logging บน AWS และ Kubernetes จะช่วยให้สามารถตรวจจับการเข้าถึงที่ผิดปกติได้เร็วขึ้น
องค์กรควรพิจารณาติดตั้งระบบ Zero Trust Network Access (ZTNA) หรือใช้ service mesh** ที่มีความสามารถในการตรวจสอบและจำกัดการเชื่อมต่อระหว่างบริการ AI กับคลาวด์อย่างละเอียด การอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดและปิดช่องโหว่ที่เกี่ยวข้องกับบริการ AI อย่างสม่ำเสมอก็เป็นสิ่งสำคัญ
Summary
บอทเน็ต NadMesh แสดงให้เห็นว่าการเปิดเผยบริการ AI บนคลาวด์ยังคงเป็นเป้าหมายสำคัญของผู้โจมตี โดยสามารถเก็บคีย์ AWS มากกว่า 3,800 คีย์และโทเค็น Kubernetes ได้อย่างรวดเร็ว การตรวจสอบการกำหนดค่า ความปลอดภัยของพอร์ต และการจัดการคีย์เป็นขั้นตอนที่จำเป็นเพื่อป้องกันความเสี่ยงดังกล่าว.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- New NadMesh Botnet Hunts Exposed AI Services for Cloud Keys and Kubernetes Tokens
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 18 กรกฎาคม 2569 เวลา 00:12



