Oligo Security a mis en garde contre des attaques en cours exploitant une faille de sécurité vieille de deux ans dans le framework d’intelligence artificielle (IA) open-source Ray pour transformer des clusters infectés avec des GPU NVIDIA en un botnet de minage de cryptomonnaie auto-réplicatif.

L’activité, nommée ShadowRay 2.0 , est une évolution d’une vague précédente observée entre septembre 2023 et mars 2024. L’attaque, à la base, exploite un bug d’authentification critique manquant (CVE-2023-48022, score CVSS : 9,8) pour prendre le contrôle d’instances vulnérables et détourner leur puissance de calcul pour le minage illicite de cryptomonnaie à l’aide de XMRig.

Cette vulnérabilité est restée non corrigée en raison d’une « décision de conception de longue date » conforme aux meilleures pratiques de développement de Ray, qui exigent qu’il soit exécuté sur un réseau isolé et qu’il agisse sur du code de confiance.

La campagne consiste à soumettre des tâches malveillantes, dont les commandes vont de la simple reconnaissance à des charges utiles Bash et Python complexes en plusieurs étapes, à une API de soumission de tâches Ray non authentifiée (« /api/jobs/ ») sur des tableaux de bord exposés. Les clusters Ray compromis sont ensuite utilisés dans des attaques de type « spray and pray » pour diffuser les charges utiles à d’autres tableaux de bord Ray, créant ainsi un ver capable de se propager d’une victime à l’autre.

Il a été constaté que les attaques exploitaient GitLab et GitHub pour diffuser le logiciel malveillant, en utilisant des noms tels que « ironern440-group » et « thisisforwork440-ops » pour créer des dépôts et y dissimuler les charges utiles malveillantes. Ces deux comptes sont désormais inaccessibles. Cependant, les cybercriminels ont réagi aux tentatives de démantèlement en créant un nouveau compte GitHub, démontrant ainsi leur ténacité et leur capacité à reprendre rapidement leurs activités.

Les charges utiles, à leur tour, tirent parti des capacités d’orchestration de la plateforme pour pivoter latéralement vers des nœuds non exposés à Internet, propager le logiciel malveillant, créer des shells inversés vers l’infrastructure contrôlée par l’attaquant pour un contrôle à distance et établir la persistance en exécutant une tâche cron toutes les 15 minutes qui récupère la dernière version du logiciel malveillant depuis GitLab pour réinfecter les hôtes.

« Les acteurs malveillants ont transformé les fonctionnalités d’orchestration légitimes de Ray en outils pour une opération de cryptojacking mondiale auto-propagatrice, se propageant de manière autonome sur les clusters Ray exposés », ont déclaré les chercheurs Avi Lumelsky et Gal Elbaz.

Il est probable que la campagne ait utilisé des modèles de langage complexes (LLM) pour créer les charges utiles GitLab. Cette évaluation repose sur la structure, les commentaires et les schémas de gestion des erreurs du logiciel malveillant.

La chaîne d’infection comprend une vérification explicite visant à déterminer si la victime se trouve en Chine et, le cas échéant, installe une version du logiciel malveillant adaptée à cette région. Elle est également conçue pour éliminer la concurrence en recherchant et en arrêtant les processus en cours d’exécution d’autres mineurs de cryptomonnaie – une tactique couramment employée par les groupes de cryptojacking pour maximiser les gains de minage de la machine hôte.

Un autre aspect notable de ces attaques est le recours à diverses tactiques pour passer inaperçues, notamment le camouflage des processus malveillants en services légitimes du noyau Linux et la limitation de l’utilisation du processeur à environ 60 %. On estime que cette campagne est active depuis septembre 2024.

Bien que Ray soit conçu pour être déployé au sein d’un « environnement réseau contrôlé », les résultats montrent que des utilisateurs exposent leurs serveurs Ray à Internet, créant ainsi une surface d’attaque lucrative pour les personnes malveillantes. Ces dernières peuvent identifier les adresses IP vulnérables des tableaux de bord Ray grâce à l’outil de détection de vulnérabilités open source interact.sh . Plus de 230 500 serveurs Ray sont accessibles publiquement.

Anyscale, développeur initial de Ray, a publié l’outil « Ray Open Ports Checker » pour vérifier la configuration des clusters et prévenir toute exposition accidentelle. Parmi les autres mesures d’atténuation, on peut citer la configuration de règles de pare-feu pour limiter les accès non autorisés et l’ajout d’une authentification sur le port du tableau de bord Ray (8265 par défaut).

« Les attaquants ont utilisé sockstress, un outil d’épuisement de l’état TCP, ciblant des sites web en production. Cela suggère que les clusters Ray compromis sont utilisés comme armes pour des attaques par déni de service, possiblement contre des pools de minage concurrentes ou d’autres infrastructures », a déclaré Oligo.

« Cela transforme l’opération, initialement axée sur le cryptojacking, en un botnet multifonctionnel. La possibilité de lancer des attaques DDoS offre une nouvelle source de revenus : les attaquants peuvent louer de la capacité DDoS ou l’utiliser pour éliminer la concurrence. Le port cible 3333 est couramment utilisé par les pools de minage, ce qui laisse supposer des attaques contre les infrastructures de minage rivales. »