サイバー犯罪者たちはもはや正面玄関を破壊するだけではなく、最新のアプリケーションを支えるメッセージングシステムそのものを乗っ取っています。
2026年5月5日、Sysdig脅威研究チーム(TRT)は、攻撃者が致命的な脆弱性を悪用して高速メッセージングサーバーを隠蔽されたコマンドアンドコントロール(C2)ハブに変えた高度なキャンペーンを発見しました。
「NATS-as-C2」と呼ばれるこの新しい手法は、従来のHTTPチャネルをバイパスし、攻撃者が侵害されたマシンを驚異的な効率で調整することを可能にします。
脅威アクターはAIパイプラインツールLangflowのリモートコード実行脆弱性であるCVE-2026-33017を悪用して、ネットワークに侵入しAWSアクセスキーを盗みました。
Langflowの欠陥がCISA既知悪用脆弱性カタログに追加されてからおよそ20時間以内に、攻撃が正確に展開されました。
認証なしのインスタンスに侵入した後、攻撃者は直ちにシステムの環境変数をダンプし、貴重なAWS認証情報を奪いました。
数分以内に、彼らは被害者のクラウド環境全体に対して大規模な偵察活動を開始し、S3バケット、EC2インスタンス、Lambda関数などのサービスをチェックしました。
このキャンペーンの中心には、オペレーターによって構築されたKeyHunterという名前のカスタム構築マルウェアプロジェクトがあります。アクセスを確保した後、攻撃者は特化したPythonワーカーと厳重に保護されたGoバイナリをダウンロードして、追加のシークレットを探しました。
GitHubをターゲットにする従来のスクレーパーとは異なり、KeyHunterはCodePen、JSFiddle、StackBlitz、CodeSandboxなどの人気のあるオンラインコードサンドボックスから認証情報を静かに抽出するように明確に設計されています。
開発者はスニペットをテストする際にこれらの共有環境に機密APIキーを残すことが多く、認証情報ハンターにとって絶対的な宝鉱になっています。
KeyHunterツールは危険なほど洗練されており、環境をスクレイプし、盗まれたAWSとAIプロバイダーのキーをリアルタイムで検証し、攻撃者のサーバーにそれらをルーティングするように構築されています。
ブラウザフィンガープリント偽装を使用して、自動化されたトラフィックをChromeやSafariなどの正当なWebブラウザになりすまします。
これにより、マルウェアはCloudflareやAkamaiなどのセキュリティベンダーの高度なボット検出システムを回避できます。
標準的なウェブリクエストが失敗した場合、マルウェアはヘッドレスブラウザサイドカーを展開して重たいJavaScriptページをレンダリングし、盗まれた認証情報が残されないことを確認します。
自動インストールスクリプトは、監査追跡を隠す、システムログをクリアする、またはsystemd永続化メカニズムを偽装するための努力をしていません。
攻撃者は、侵害された仮想プライベートサーバーを低コストで使い捨てインフラストラクチャとして扱っています。
数個の強力なノードを慎重に隠すのではなく、彼らは多数の使い捨てマシンを追加することで操作をスケーリングし、オーバーヘッドを低く保ちながら継続的に収集されたキーを検証するためにコスト効率の高いARMインスタンスを利用しています。
翻訳元: https://cyberpress.org/langflow-attacks-target-aws/