Pesquisadores de segurança cibernética descobriram um novo ataque que emprega credenciais de nuvem roubadas para atingir serviços de modelo de linguagem grande (LLM) hospedados na nuvem, com o objetivo de vender acesso a outros atores de ameaças.
A técnica de ataque recebeu o codinome LLMjacking pela equipe de pesquisa de ameaças Sysdig.
“Assim que o acesso inicial foi obtido, eles exfiltraram as credenciais da nuvem e obtiveram acesso ao ambiente da nuvem, onde tentaram acessar modelos LLM locais hospedados por provedores de nuvem”, disse o pesquisador de segurança Alessandro Brucato. “Neste caso, um modelo native Claude (v2/v3) LLM da Anthropic foi o alvo.”
O caminho de intrusão usado para executar o esquema envolve a violação de um sistema que executa uma versão vulnerável do Laravel Framework (por exemplo, CVE-2021-3129), seguido pela obtenção de credenciais da Amazon Internet Companies (AWS) para acessar os serviços LLM.
Entre as ferramentas utilizadas está um script Python de código aberto que verifica e valida chaves para diversas ofertas da Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral e OpenAI, entre outras.
“Nenhuma consulta LLM legítima foi realmente executada durante a fase de verificação”, explicou Brucato. “Em vez disso, foi feito apenas o suficiente para descobrir do que as credenciais eram capazes e quaisquer cotas.”
O keychecker também tem integração com outra ferramenta de código aberto chamada oai-reverse-proxy, que funciona como um servidor proxy reverso para APIs LLM, indicando que os atores da ameaça provavelmente estão fornecendo acesso às contas comprometidas sem realmente expor as credenciais subjacentes.
“Se os invasores estivessem reunindo um inventário de credenciais úteis e quisessem vender o acesso aos modelos LLM disponíveis, um proxy reverso como esse poderia permitir-lhes monetizar seus esforços”, disse Brucato.
Além disso, os invasores foram observados consultando as configurações de registro em uma provável tentativa de evitar a detecção ao usar as credenciais comprometidas para executar seus prompts.
O desenvolvimento é um afastamento dos ataques que se concentram em injeções imediatas e envenenamento de modelos, permitindo em vez disso que os atacantes monetizem o seu acesso aos LLMs enquanto o proprietário da conta na nuvem paga a conta sem o seu conhecimento ou consentimento.
Sysdig disse que um ataque desse tipo poderia gerar mais de US$ 46.000 em custos de consumo de LLM por dia para a vítima.
“O uso de serviços LLM pode ser caro, dependendo do modelo e da quantidade de tokens fornecidos a ele”, disse Brucato. “Ao maximizar os limites de cota, os invasores também podem impedir que a organização comprometida use modelos de forma legítima, interrompendo as operações de negócios”.
Recomenda-se que as organizações habilitem o registro detalhado e monitorem os registros da nuvem em busca de atividades suspeitas ou não autorizadas, bem como garantam que processos eficazes de gerenciamento de vulnerabilidades estejam em vigor para impedir o acesso inicial.
