Pesquisadores de cibersegurança descobriram um novo ataque que usa credenciais de nuvem roubadas para visar serviços de modelos de linguagem grandes (LLM) hospedados na nuvem, com o objetivo de vender acesso a outros atores ameaçadores.
A técnica de ataque foi codificada como LLMjacking pela Equipe de Pesquisa de Ameaças da Sysdig.
“Uma vez obtido o acesso inicial, eles exfiltraram credenciais de nuvem e obtiveram acesso ao ambiente de nuvem, onde tentaram acessar modelos LLM locais hospedados por provedores de nuvem”, disse o pesquisador de segurança Alessandro Brucato. “Neste caso, um modelo LLM local Claude (v2/v3) da Anthropic foi visado.”
O caminho de intrusão usado para levar adiante o esquema envolve violar um sistema que executa uma versão vulnerável do Framework Laravel, seguido pela obtenção de credenciais da Amazon Web Services (AWS) para acessar os serviços LLM.
Entre as ferramentas usadas está um script Python de código aberto que verifica e valida chaves para várias ofertas da Anthropic, AWS Bedrock, Google Cloud Vertex AI, Mistral e OpenAI, entre outros.
“Nenhhuma consulta LLM legítima foi realmente feita durante a fase de verificação”, explicou Brucato. “Em vez disso, foi feito o suficiente para descobrir do que as credenciais eram capazes e quaisquer cotas.”
O keychecker também possui integração com outra ferramenta de código aberto chamada oai-reverse-proxy, que funciona como um servidor proxy reverso para APIs LLM, indicando que os atores de ameaças provavelmente estão fornecendo acesso às contas comprometidas sem expor as credenciais subjacentes.
“Se os atacantes estivessem coletando um inventário de credenciais úteis e quisessem vender acesso aos modelos LLM disponíveis, um proxy reverso como este poderia permitir que eles monetizassem seus esforços”, disse Brucato.
Além disso, os atacantes foram observados consultando configurações de log em uma provável tentativa de contornar a detecção ao usar as credenciais comprometidas para executar suas solicitações.
O desenvolvimento é um desvio de ataques que se concentram em injeções de prompts e envenenamento de modelo, permitindo que os atacantes monetizem seu acesso aos LLMs enquanto o proprietário da conta na nuvem paga a conta sem o seu conhecimento ou consentimento.
A Sysdig afirmou que um ataque desse tipo poderia acumular mais de $46.000 em custos de consumo de LLM por dia para a vítima.
“O uso de serviços LLM pode ser caro, dependendo do modelo e da quantidade de tokens alimentados a ele”, disse Brucato. “Ao maximizar os limites de cotas, os atacantes também podem impedir que a organização comprometida use os modelos de forma legítima, interrompendo as operações comerciais.”
Organizações são recomendadas a habilitar a configuração de logs detalhados e monitorar logs de nuvem em busca de atividades suspeitas ou não autorizadas, bem como garantir que processos eficazes de gerenciamento de vulnerabilidades estejam em prática para evitar o acesso inicial.