Напаѓачи користат LLM агент за пост-експлоатација по искористување на Marimo CVE-2026-39987

Непознат заканувачки актер е забележан како користи голем јазичен модел (LLM) агент за изведување активности по компромитирање, откако добил почетен пристап преку експлоатација на јавно достапна Marimo мрежа со неодамна откриена ранливост.

„Напаѓачот компромитирал интернет-достапен Marimo notebook преку CVE-2026-39987, извлекол два cloud акредитива од компромитираниот хост, ги реплејувал преку распределен излезен (egress) пул за да извлече SSH приватен клуч од AWS Secrets Manager и го користел тој клуч за да изведе осум кратки SSH сесии кон downstream SSH bastion сервер“, соопшти Sysdig.

„Во фазата преку bastion серверот беа ексфилтрирани шемата и целосната содржина на интерна PostgreSQL база на податоци за помалку од две минути.“

CVE-2026-39987 се однесува на критична ранливост за далечинско извршување на код без автентикација (pre-authenticated RCE) која ги погодува сите верзии на Marimo пред и вклучително 0.20.4. Таа овозможува неавтентициран напаѓач да извршува произволни системски команди. Проблемот е поправен во верзија 0.23.0, објавена минатиот месец.

Оваа безбедносна ранливост веќе активно се експлоатира, при што напаѓачите ја користат за иницирање рачна извидувачка активност врз honeypot системи и обиди за собирање чувствителни податоци.

Најновата активност документирана од Sysdig го следи истиот модел, со главна разлика што бил користен LLM агент за управување со пост-експлоатациските активности. Инцидентот, според cloud безбедносната компанија, бил забележан на 10 мај 2026 година, при што напаѓачот собрал акредитиви од околината и потоа го искористил AWS access key за API повици кон AWS Secrets Manager и преземање SSH приватен клуч.

Неколку минути подоцна, напаѓачот извршил прва SSH автентикација на bastion серверот со добиениот клуч, по што стартувал осум паралелни SSH сесии кон downstream серверот за ексфилтрација на интерна PostgreSQL база на податоци. Целиот напад траел нешто повеќе од еден час.

Sysdig соопшти дека открил четири индикатори дека зад активноста стоел LLM агент.

Прво, напаѓачот импровизирал dump на база на податоци без претходно познавање на шемата (schema).

Второ, во текот на пребарување на акредитиви протекла коментaрa за планирање на кинески јазик, „看还能做什么“, што се преведува како „Да видиме што друго можеме да направиме“.

„Hostname-от на базата беше нејасен, без апликациски идентификатор на дискот и без однапред подготвен schema dump, но синџирот сепак во рок од неколку минути стигна до табела со акредитиви“, соопшти Sysdig. „Напаѓачот повеќе не мора да ја гледа твојата околина за да работи внатре во неа.“

Третиот знак е дека секоја команда е дизајнирана за машинска обработка, со тоа што командите се одделени со „—“ разделувач, со ограничени излези (bounded output captures), оневозможена команда „less“ и отфрлање на error stream (stderr) со цел намалување на шум.

Последно, „value handoff“ податоците се добиваат од претходен излез од алатка. Со други зборови, начинот на кој одредени вредности (на пример лозинки за база) биле извлечени покажува дека AI агент го користи својот претходен излез како влез за следна акција — на пример со извршување на cat команда врз датотеката „~/.pgpass“.

Во друг случај, cat команда за прикажување на содржината на датотека („cat ~/.ssh/id_ed25519“) е претходена од ls команда („ls -la ~/.ssh/id_ed25519*“) која ја користи истата патека како влез за да потврди дека SSH клучот постои.

„Кога скриптиран оператор гради playbook за секоја цел и го повторно користи, бариерата за додавање нова цел е инженерско време“, заклучи Sysdig. „Меѓутоа, агент-оператор носи општи знаења за класа на апликации и го составува синџирот во реално време за да се прилагоди на целта. Тука бариерата станува буџет за inference, наместо пишување playbook.“

„Својството релевантно за одбрана кај агент-во-синџир е адаптивноста. Скриптиран напаѓач се судира со недостасувачка датотека, неочекувана шема или грешка во автентикација и или се откажува или преминува на хард-кодирана алтернатива. Агентот ја чита промената, одлучува што да проба следно и продолжува понатаму.“

За да се намали оваа закана, се препорачува корисниците да ја ажурираат најновата верзија на Marimo, да ги проверат околините за јавно достапни инстанци и да ротираат акредитиви, API клучеви и SSH клучеви.

Извори:

• The Hacker News – Attackers Use LLM Agent for Post-Exploitation After Marimo CVE-2026-39987 Exploit The Hacker News