ハッカーがオープンソースAIフレームワークを世界的なクリプトジャッキング作戦に転用

サイバーセキュリティ企業Oligoの研究者によると、悪意のあるハッカーがオープンソースAIフレームワークの開発環境を攻撃し、その機能を利益目的のために世界的なクリプトジャッキングボットへと変えているとのことです。

この脆弱性は、Oligoの研究者が「AIのためのKubernetes」と呼ぶほど人気のある、計算リソースの自動化・スケーリング・最適化を行うオープンソースフレームワークRayのアプリケーションプログラミングインターフェースに存在します。この脆弱性により、認証されていないリモートコード実行が可能となります。

「公開されているサーバーの多くは、現役のスタートアップ、研究機関、クラウドホスト型AI環境に属しており、一部はハニーポットです」とLumelskyとElbazは記しています。

研究者によれば、今回のキャンペーンは2023年に最初に発見されたRayの同じ脆弱性の以前の悪用から「大きな進化」を遂げており、今回は全く別の攻撃グループによるものと考えられています。レポートによれば、入手可能な証拠から、攻撃者は2024年9月からRayに潜伏していた「可能性がある」とされ、開発環境をGitLabとGitHub間で移行しながら活動していたとみられます。

攻撃者がRayクラスターを掌握すると、計算リソースを管理するシステムを操作しました。特にNVIDIA A100 GPUを探し、それらのリソースを最適に活用する方法を計算し、必要なリソースを正確に指定した乗っ取りジョブを提出しました。Oligoは、A100チップは多くのクラウドプラットフォームで1時間あたり3～4ドルかかるため、クリプトマイナーにとって価値が高く、攻撃者がクラウド内で存在を隠しつつ「高性能な計算リソースを盗む」ことができると指摘しています。

攻撃は2段階で行われました。最初に攻撃者はGitLabを使ってマルウェアを開発・配布しましたが、この作戦は11月5日に発見されて停止されました。数日後、攻撃者はGitHub上に再登場し、新たなリポジトリを作成してキャンペーンを継続しました。LumelskyとElbazは、活動が発見されるたびに攻撃者が新たなGitHubリポジトリを作成していたと指摘しています。11月17日時点でキャンペーンは継続中でした。

11月18日にこの研究に関するコメントを求められた際、GitHubを代表する広報会社は「報告されたセキュリティ問題の調査に取り組んでいる」と述べました。

「悪意のある活動に対応し、GitHubの許容利用ポリシーに違反するアカウントを削除しました。このポリシーはマルウェアキャンペーンを支援するコンテンツを禁止しています」と広報担当者はメールで述べました。

攻撃者が自身の存在を隠すために行った試みから得られたアーティファクトには、「大規模言語モデルで生成されたことを強く示唆する」コードが含まれていました。

2023年の攻撃および今回のキャンペーン（CVE-2023-48022）で悪用された基盤となるAPIの脆弱性は、完全には対策されていないことに注意が必要です。

この脆弱性のMITRE ATT&CKエントリによると、「このバグは未修正のままであり、ベンダーはRayが厳密に管理されたネットワーク環境以外での使用を想定していないとして異議を唱えている」とされています。

「しかし実際には、多くのユーザーがこの警告を無視してRayを展開しており、その結果、攻撃者による継続的かつ拡大した武器化を裏付けるように、悪用のための長いウィンドウが生じている」とLumelskyとElbazは記しています。