2026年4月8日のMarimoのPythonノートブックプラットフォームにおける重大な事前認証リモートコード実行(RCE)脆弱性の開示から、わずか3日後に脅威アクターがこの欠陥を積極的に悪用し始めた。
CVE-2026-39987として追跡されているこの脆弱性は、認証されていない攻撃者が認証情報を必要とせずに完全なインタラクティブシェルを取得し、任意のシステムコマンドを実行することを可能にしている。
Sysdig 脅威研究チーム(TRT)によると、攻撃者はこの脆弱性を悪用して、Hugging Face Spacesに直接ホストされている以前に文書化されていないNKAbuse マルウェアの亜種をデプロイしている。
兵器化の速度は、人工知能および機械学習(AI/ML)インフラストラクチャをターゲットにする成長傾向を強調している。
2026年4月11日から4月14日の間に、Sysdig研究者は10カ国の11個の一意のIPアドレスから発生する662の 悪用イベントを記録した。攻撃は単純なRCE検証から複雑なマルチアワーのインタラクティブセッションへと急速にエスカレートした。
Mariumプラットフォームの初期侵害に続いて、攻撃者は高度に構造化されたプレイブックを実演した。Sysdig TRTが観察した最も一般的な悪用後の行動は、積極的な 認証情報の収集だった。
オペレーターは、AWSアクセスキー、OpenAI APIトークン、およびデータベース接続文字列を即座に転売するか、後で使用するために、環境変数を体系的に抽出した。
直接のリバースシェルの試みが失敗したとき、攻撃者は収集した認証情報を使用してラテラルムーブメントにシームレスに移行した。Sysdig TRTは異なるオペレーターによってデプロイされた複数の高度な技術を観察した:
キャンペーン中の最も重要な発見は、「vsccode-modetx」という名前のタイポスクワッティングされたHugging Face Spaceを通じた高度なマルウェアペイロードのデプロイメントだった。
信頼性の高いドメインレピュテーションを持つプラットフォームを使用することで、攻撃者は従来のセキュリティ監視およびURLフィルタリング機構を効果的に迂回した。
このGoベースのバックドアは、コマンド・アンド・コントロール(C2)通信にNKNブロックチェーンを使用しており、従来のテイクダウンに対して非常にレジリエントである。
マルウェアのデプロイメントの主要な技術詳細は以下の通りです:
翻訳元: https://cyberpress.org/hugging-face-backdoor-spread/