Um threat actor desconhecido foi flagrado usando um agente de modelo de linguagem grande, ou LLM, para realizar ações pós-comprometimento depois de obter acesso inicial por meio da exploração de uma instância Marimo exposta publicamente, com base em uma falha divulgada recentemente.
“O invasor comprometeu um notebook Marimo acessível pela internet por meio da
CVE-2026-39987
, extraiu duas credenciais de nuvem do host comprometido, reutilizou essas credenciais em uma pool de saída distribuída para recuperar uma chave privada SSH no AWS Secrets Manager e usou essa chave para conduzir oito sessões SSH curtas contra um servidor bastião SSH a jusante”, informou a Sysdig.
“A fase no bastião exfiltrou o esquema e o conteúdo completo de um banco de dados PostgreSQL interno em menos de dois minutos.”
A
CVE-2026-39987
se refere a uma vulnerabilidade crítica de execução remota de código, pré-autenticada, que afeta todas as versões do Marimo anteriores e incluindo a 0.20.4.
Ela permite que um atacante sem autenticação execute comandos arbitrários no sistema.
O problema foi corrigido na versão 0.23.0, lançada no mês passado.
Desde então, a falha de segurança passou a ser explorada ativamente, com threat actors usando o exploit para iniciar reconhecimento manual contra sistemas honeypot e tentar coletar dados sensíveis.
A atividade mais recente documentada pela Sysdig segue o mesmo padrão, com a principal diferença de que um agente de LLM foi usado para conduzir a fase pós-exploração.
O incidente, segundo a empresa de segurança em nuvem, foi registrado em 10 de maio de 2026.
O invasor reuniu credenciais do ambiente e, em seguida, usou a chave de acesso AWS obtida para fazer chamadas de API ao AWS Secrets Manager e recuperar uma chave privada SSH.
Minutos depois, o threat actor teria feito a primeira autenticação SSH no servidor bastião usando a chave recuperada e, na sequência, iniciado oito sessões SSH paralelas contra o servidor a jusante para extrair um banco de dados PostgreSQL interno.
A cadeia de ataque de ponta a ponta durou pouco mais de uma hora.
A Sysdig afirmou ter encontrado quatro indícios de que um agente de LLM estava por trás da atividade.
Primeiro, o invasor improvisou uma extração de banco de dados sem qualquer conhecimento prévio do esquema.
Segundo, um comentário de planejamento em chinês, “看还能做什么”, traduzido como “Veja o que mais podemos fazer”, apareceu diretamente no fluxo de comandos durante a execução de uma busca por credenciais.
“O hostname do banco de dados era opaco, sem identificador da aplicação no disco e sem um dump de esquema pré-posicionado, mas a cadeia ainda chegou a uma tabela de credenciais em poucos minutos”, disse a Sysdig.
“O invasor não precisa mais ver o seu ambiente para operar dentro dele.”
O terceiro sinal é que cada comando foi montado para consumo por máquina, com separação por um delimitador “---”, capturas de saída limitadas, desativação do comando “less” e descarte do fluxo de erro, ou stderr, para reduzir o ruído.
Por fim, as transferências de valor foram obtidas a partir da saída de ferramentas anteriores.
Em outras palavras, a forma como certos valores, como senhas de banco de dados, foram extraídos sugere um agente de IA alimentando a própria saída anterior, executando um comando cat do arquivo “~/.pgpass” para a próxima ação.
Em outro caso, um comando cat para imprimir o conteúdo de um arquivo específico, “cat ~/.ssh/id_ed25519”, é precedido por um comando ls, de listagem, que passa o mesmo padrão de arquivo como entrada, “ls -la ~/.ssh/id_ed25519*”, para confirmar que a chave SSH existe.
“Quando um operador automatizado cria um playbook por alvo e o reutiliza, o esforço para adicionar um novo alvo é tempo de engenharia”, concluiu a Sysdig.
“Já um operador com agente carrega premissas gerais sobre uma classe de aplicações e compõe a cadeia em tempo real para se ajustar melhor ao alvo.
Nesse caso, a barreira passa a ser o orçamento de inferência, e não a autoria do playbook.”
“A propriedade mais relevante para a defesa em um agente no ciclo é a adaptabilidade.
Um atacante automatizado encontra um arquivo ausente, um esquema inesperado ou uma falha de autenticação e, então, aborta a operação ou recorre a uma alternativa codificada.
Um agente lê a surpresa, decide o que tentar em seguida e continua avançando.”
Para reduzir esse risco, a recomendação é atualizar o Marimo para a versão mais recente, auditar os ambientes em busca de quaisquer instâncias acessíveis publicamente e rotacionar credenciais, chaves de API e chaves SSH.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...