Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

ShadowRay 2.0 ја искористува незакрпената ранливост во Ray за создавање саморазмножувачки GPU криптомајнинг ботнет

Објавено: 21.11.2025

Oligo Security предупреди за тековни напади кои искористуваат двегодишна безбедносна ранливост во open-source AI рамката Ray за претворање на заразени кластери со NVIDIA графички процесори во саморазмножувачки ботнет за копање криптовалути.

Активноста, со кодно име ShadowRay 2.0, претставува еволуција на претходен бран забележан меѓу септември 2023 и март 2024 година. Сржта на нападот е искористување на критичен пропуст во автентикацијата (CVE-2023-48022, CVSS: 9.8) за преземање контрола над ранливи инстанци и злоупотреба на нивната пресметувачка моќ за нелегално крипто-майнинг користејќи XMRig.

Ранливоста останала незакрпена поради „долгогодишна дизајнерска одлука“ усогласена со најдобрите практики на Ray, според кои системот треба да се извршува во изолирана мрежа и да работи со доверлив код.

Кампањата вклучува испраќање злонамерни задачи преку неавтентицираниот Ray Job Submission API (“/api/jobs/”) на изложени контролни панели, со команди што се движат од едноставно извидување до сложени повеќефазни Bash и Python payload-ови. Потоа, компромитираните Ray кластери се користат за „spray and pray“ напади за дистрибуција на payload-овите кон други Ray панели, создавајќи црв што може да се шири од една жртва на друга.

Нападите користеле GitLab и GitHub за испорака на малверот, преку репозиториуми со имиња како „ironern440-group“ и „thisisforwork440-ops“. Иако тие профили веќе не се достапни, сајбер-криминалците брзо отвориле нов GitHub профил, покажувајќи упорност и способност за брзо продолжување на операциите.

Payload-овите ги користат оркестрационите можности на платформата за латерално движење кон јазли што не се јавно изложени, ширење на малверот, создавање reverse shell кон инфраструктурата на напаѓачите и воспоставување перзистенција преку cron задача на секои 15 минути која ја презема најновата верзија на малверот од GitLab за повторна инфекција на хостовите.

Истражувачите наведуваат дека напаѓачите ги претвориле легитимните функции на Ray во алатки за саморазмножувачка, глобална криптоџакинг операција.

Се смета дека кампањата веројатно користела LLM модели за креирање на GitLab payload-овите, врз основа на структурата, коментарите и шаблоните за обработка на грешки во кодот.

Синџирот на инфекција вклучува проверка дали жртвата се наоѓа во Кина, при што се испорачува регионално прилагодена верзија на малверот. Исто така, малверот се обидува да елиминира конкуренција со скенирање на активни процеси за други крипто-рударски апликации и нивно прекинување.

Дополнително, злоупотребени се тактики за прикривање, како камуфлирање на злонамерните процеси како легитимни Linux kernel сервиси и ограничување на CPU употребата на околу 60%. Се верува дека кампањата е активна од септември 2024 година.

Иако Ray треба да се користи во „контролирана мрежна средина“, наодите покажуваат дека корисници ги изложуваат Ray серверите на интернет, отворајќи површина за напади. Над 230.500 Ray сервери се јавно достапни и можат да се идентификуваат со алатката interact.sh.

Компанијата Anyscale, оригиналниот развивач на Ray, објави алатка „Ray Open Ports Checker“ за проверка на правилната конфигурација и спречување ненамерна изложеност. Дополнителни мерки вклучуваат конфигурирање firewall правила и додавање авторизација на Ray Dashboard портата (стандардно 8265).

Напаѓачите користеле и sockstress алатка за исцрпување на TCP состојби за напад врз продукциски веб-страници, што укажува дека компромитираните кластери се злоупотребуваат и за DDoS напади, можеби против конкурентски рударски пулови или друга инфраструктура.

Ова ја трансформира операцијата од чист криптоџакинг во мултифункционален ботнет, со дополнителни можности за монетизација преку изнајмување DDoS капацитет или елиминирање конкуренција. Целниот порт 3333, кој често го користат рударски пулови, укажува на напади врз конкурентска крипто-инфраструктура.

Извори:

  • The Hacker News – ShadowRay 2.0 Exploits Unpatched Ray Flaw to Build Self-Spreading GPU Cryptomining Botnet The Hacker News