新型NadMesh僵尸网络猎捕暴露的AI服务以窃取云密钥与Kubernetes令牌
导语:奇安信 XLab 披露一个名为 NadMesh 的 Go 语言僵尸网络,该僵尸网络专门扫描收割暴露在公网的 AI 服务(ComfyUI、Ollama、n8n、Open WebUI、Langflow、Gradio)与 MCP 服务,目标是从中窃取 AWS 云密钥、Kubernetes 服务账户令牌以及 Docker 配置等高价值凭据。
一个名为 NadMesh 的 Go 语言僵尸网络于7月初浮出水面,专门猎捕暴露的 AI 服务,其运营者自己的仪表板声称已获取 3,811 个唯一的 AWS 密钥。
一个 Shodan 收集器源源不断地为扫描队列补充目标,覆盖 ComfyUI、Ollama、n8n、Open WebUI、Langflow 和 Gradio——这些都是团队快速搭建却迟迟不加防火墙的图像生成器、本地模型运行器和工作流构建工具。
在该计数器背后的情报流中,最近 100 条记录显示有 47 次凭据收割和 41 份模型清单。这些清单带有以 `:cloud` 标记的 DeepSeek、GLM 和 Kimi 标识符,表明僵尸网络编目的目标范围已超出本地主机本身。
奇安信 XLab 于上周五发布报告,根据源代码中的 "n4d mesh controller" 字符串为该恶意软件命名,并截取了控制面板截图。面板上的数字由运营者自行报告,采集于7月10日,且彼此之间并不一致:
一个显示 17,700 总部署量的计数器下方,漏斗声称过去24小时内有 95,700 次部署。一块面板显示 16 个活跃僵尸程序;下一块显示 12 个。凭据数字至少在面板上出现了两次。XLab 自己的传感器提供了一个外部衡量口径——推送 NadMesh 的独立源 IP 在6月下旬前接近于零,随后在7月第一周垂直上升至每天约 139 个。
僵尸程序回传的内容包括从环境变量中提取的云密钥、k8s 服务账户令牌,以及 `~/.aws/config`、`.env` 和 `~/.docker/config.json` 的内容。研究人员直言:运营者要的不是主机本身,而是主机上的云凭据和 Kubernetes 集群权限。模型访问权限和可调用的 MCP 工具也一并被纳入目标。
MCP 在该控制器的利用优先级顺序中排在 Kubernetes、Docker API 和 Redis 之上,XLab 在该条目旁记录的向量是用于 `execute_command` 的 JSON-RPC `tools/call`。该条目未附带 CVE,报告也未声称存在 CVE。

MCP 的最初规范将身份验证完全置于核心协议之外,2025年3月加入的授权流程在其规范本身的表述中仍是可选的,许多部署跳过了这一步。Censys 截至4月28日统计了分布在 8,758 个 IP 地址上的 12,520 个可达 MCP 服务,到5月6日超过 21,000 个,其中约 90 个宣传提供运行命令的工具。其中 39 个的工具被命名为 `execute_command`,正是 NadMesh 表格首位的具体调用。但僵尸网络自己的 MCP 计数器也无法对账:列出 12,100 个可利用的 MCP 服务、共计 21 个 MCP 漏洞,然而屏幕上 100 条情报记录中却没有任何 MCP 漏洞。
再看 XLab 实际观察到的攻击流量。该公司绘制了其观测到的漏洞利用流量图,其中 `docker_containers_api_rce` 占 30.31%,`jenkins_scripttext_rce` 占 22.28%,Telnet 弱口令占 10.36%,Redis 占 8.29%。`mcp_cmd_execute` 也在该图表上,因此该向量存在于 XLab 观测到的流量中,但它位于已标注最小切片之下的未标记尾部,占 0.78%。图表标签与控制器的状态字符串并不匹配,这是 XLab 传感器视角下的尝试情况,而非运营者的成功记录。
由此可见,AI 定向在情报采集和赃物环节是真实的,而大部分漏洞利用流量仍然流向 Docker socket 和 Jenkins 控制台。
扫描机制会自我强化:产生命中的子网每5分钟以更高密度重新采样;在过去24小时内被标记为危险的 IP 每15分钟作为 `/32` 重扫回归,AI 端口优先;全面扫描则把过去7天内所有被标记为危险的目标重新拉回至队列顶部。任何吸收了10次部署尝试却从未返回结果的目标会被自动列入黑名单,视为疑似蜜罐——XLab 认为这表明作者知道研究人员正在监视。如果队列耗尽,僵尸程序会生成一个随机的 `/24` 段并继续工作。
五个构建版本同时运行,其中 11 个僵尸程序运行在 33.8-GO-TITAN 上,少数落后者仍运行 30.0 版本。一个金丝雀端点向部分机群暂存新构建,已服务 5,448 个响应和 84,024 个 null。漏斗将任务从部署逐级下推至活跃主机。
面板自身的脚注才是最大的线索:成功评分基于一份显式排除 Ollama 和 AWS 收割项的结果允许列表——运营者的计分板并未把运营者真正要窃取的东西计入其中。
清除机制被设计为注定失败。该代理以三种方式同时持久化,移除任何一种都会让其他方式将其复活。每个构建都经过 Garble 混淆、UPX -9 打包和随机填充处理,没有两个代理共享哈希值——已发布的样本哈希只能捕获那一个构建,会漏掉其余版本。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-nadmesh-botnet-hunts-exposed-ai.html
作者:info@thehackernews.com (The Hacker News)

