Pesquisadores de cibersegurança descobriram um novo ataque que utiliza credenciais de nuvem roubadas para mirar em serviços de grandes modelos de linguagem (LLM) hospedados na nuvem, com o objetivo de vender acesso a outros atores maliciosos. A técnica de ataque foi apelidada de LLMjacking pela Equipe de Pesquisa de Ameaças da Sysdig. A invasão usada para realizar o esquema envolve a violação de um sistema que execute uma versão vulnerável do Framework Laravel, seguida pela obtenção de credenciais da Amazon Web Services (AWS) para acessar os serviços LLM. Uma das ferramentas usadas é um script Python de código aberto que verifica e valida chaves para várias ofertas da Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral e OpenAI, entre outros. Os atacantes foram observados consultando configurações de log na tentativa de contornar a detecção ao usar as credenciais comprometidas para executar seus comandos. Esse tipo de ataque pode resultar em custos de consumo de LLM acima de $46.000 por dia para a vítima.É recomendável que as organizações ativem o registro detalhado e monitorem logs de nuvem em busca de atividades suspeitas ou não autorizadas, além de garantir que processos eficazes de gerenciamento de vulnerabilidades estejam em vigor para prevenir o acesso inicial.