Uma campanha global chamada ShadowRay 2.0 sequestra Ray Clusters expostos ao explorar uma vulnerabilidade antiga de execução remota de código, transformando-os em uma botnet autônoma de cryptomining.
Desenvolvido pela Anyscale, o framework open-source Ray permite construir e escalar aplicações Python e de inteligência artificial em um ecossistema de computação distribuída organizado em clusters, também conhecidos como head nodes.
Segundo pesquisadores da empresa de segurança em runtime Oligo, o grupo malicioso identificado como IronErn440 utiliza payloads gerados por inteligência artificial para comprometer infraestruturas Ray vulneráveis e acessíveis via internet pública.
De acordo com eles, a atividade maliciosa vai além do cryptomining.
Em alguns casos, o ataque inclui roubo de dados e credenciais, além do lançamento de ataques distribuídos de negação de serviço (DDoS).
ShadowRay 2.0 é a continuação de uma campanha anterior, igualmente descoberta pela Oligo, ocorrida entre setembro de 2023 e março de 2024.
Os pesquisadores identificaram que ambas as campanhas exploraram uma vulnerabilidade crítica antiga, catalogada como
CVE-2023-48022
.
O problema nunca foi corrigido, pois o Ray foi projetado para operar em um “ambiente de rede estritamente controlado”.
No entanto, a Oligo alerta que atualmente há mais de 230 mil servidores Ray expostos na internet — um aumento significativo em relação aos poucos milhares identificados no início das investigações.
Em relatório divulgado hoje, a empresa afirma ter detectado duas ondas de ataque distintas: uma que usava o GitLab para distribuir os payloads, encerrada em 5 de novembro; e outra, ainda ativa desde 17 de novembro, que utiliza o GitHub.
A análise revela que os payloads foram gerados com o auxílio de grandes modelos de linguagem (LLMs).
Essa conclusão se baseia no estilo do código, nos comentários e na forma de tratamento de erros.
Por exemplo, após desofuscar um dos payloads, os pesquisadores encontraram “docstrings e comandos ‘echo’ inúteis” — indícios claros de geração automática por IA.
Os ataques exploram a
CVE-2023-48022
para enviar jobs à API não autenticada de Jobs do Ray, executando payloads multiestágio em Bash e Python.
Em seguida, usam a orquestração da plataforma para distribuir malware por todos os nós, possibilitando a propagação autônoma entre clusters.
O módulo de cryptomining também parece ter sido gerado por IA.
Ele verifica recursos disponíveis de CPU e GPU, além do tipo de acesso ao sistema.
No código, há referências a sistemas com pelo menos oito núcleos e privilégios root, que o atacante chama carinhosamente de “uma criança muito boa”.
Para minerar Monero, o malware utiliza o XMRig e limita o uso da CPU a 60%, a fim de evitar detecção rápida.
Os miners são instalados em locais falsos no sistema e usam nomes de processos enganosos, como ‘dns-filter’, para camuflar suas operações.
A persistência é mantida por meio de jobs no cron e alterações no systemd.
Outra descoberta importante é que o atacante garante ser o único explorando a máquina para mineração, encerrando scripts concorrentes e bloqueando pools rivais por meio de arquivos /etc/hosts e regras do iptables.
Além do cryptomining, o malware abre múltiplas reverse shells em Python, permitindo controle interativo direto.
Isso possibilita acesso e potencial exfiltração de dados do ambiente, incluindo credenciais MySQL, modelos proprietários de IA e código-fonte armazenado no cluster.
Também é possível realizar ataques DDoS por meio da ferramenta Sockstress, que consome recursos de forma assimétrica ao abrir muitas conexões TCP via raw sockets.
Os scripts criados pelo atacante no cron são executados a cada 15 minutos, buscando atualizações dos payloads no repositório do GitHub.
Como não há patch disponível para a
CVE-2023-48022
, usuários do Ray são recomendados a seguir as “melhores práticas” indicadas pelo fornecedor ao implantar seus clusters.
A Anyscale publicou uma atualização após a descoberta da primeira campanha ShadowRay, com diversas recomendações, entre elas executar o Ray em ambientes seguros e confiáveis.
Os clusters devem ser protegidos contra acessos não autorizados por meio de regras de firewall e políticas de grupos de segurança.
A Oligo reforça a necessidade de adicionar autenticação à interface do Ray Dashboard (porta 8265, por padrão) e implementar monitoramento contínuo das instalações de IA para detectar atividades suspeitas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...