攻撃者は、marimo Pythonノートブックプラットフォームの脆弱性CVE-2026-39987を急速に悪用し、Hugging Face Spacesでホストされた新しいNKAbuseバックドアバリアントを展開し、AI/ML開発者環境を高価値の感染ポイントに変えています。
このキャンペーンは認証前RCE、認証情報の盗難、PostgreSQLとRedisへの水平移動、および監視やブロックが困難なブロックチェーンベースのC2チャネルを組み合わせています。
CVE-2026-39987は、Marimoの重大な認証前リモートコード実行脆弱性であり、認証されていない攻撃者が公開されているインスタンス上で任意のコマンドを実行できます。
基礎となるアドバイザリー(GHSA-2679-6mx9-h9xc)は2026年4月8日にGitHubで公開され、10時間以内に悪用が開始されました。これは、技術的な詳細が公開されたら防御者がいかに少ないバッファを持つかを強調しています。
最も洗練された攻撃者(159.100.6.251、ドイツ)は3時間以上にわたって195件のイベントを実施しました。
4月11日から14日にかけて、Sysdigの脅威研究チーム(TRT)は10を超える異なるIPから数百の悪用イベントを観察しました。単純なワンショットRCEチェックから複数時間の対話的セッションまで様々です。
これらのセッション中、敵対者は環境変数を収集し、リバースシェルを開き、marimoコンテナから到達可能なバックエンドサービスへのピボットに焦点を当てました。
悪用後の活動と水平移動
コード実行が確立されると、複数の攻撃者はクラウドキー、データベースURL、APIトークンをキャプチャするための環境変数スクレイピングコマンドを使用して体系的にシークレットをダンプしました。
1つのシーケンスでは、攻撃者は異なるポートとプロトコル全体で広範なリバースシェルテクニックを使い尽くし、その後リークされたDATABASE_URLを使用してPostgreSQLインスタンスにログインし、スキーマ、テーブル、構成を列挙しました。
別の攻撃者は、marimoの.envファイルから回復した認証情報を使用してRedis展開にピボットし、16個のすべての論理データベースをループして、管理セッションとタスクメタデータを含むアプリケーションキーをリストおよび読み取りました。
別の場所では、別の攻撃者がDNSベースのコールバックを使用してコード実行を確認しました。外部DNSロギングインフラストラクチャを使用しており、アウトバウンドTCPトラフィックがフィルタされているがDNSが開いている場合にRCEを検証する一般的な方法です。
最も注目すべき活動は、marimo悪用を使用して「VS Code」の故意の誤字である「vsccode-modetx」という名前のHugging Face Spacesを指すcurl bashコマンドを実行した攻撃者からのものでした。
このSpaceは、kagentという名前のGoベースのELFバイナリをインストールするシェルスクリプト(install-linux.sh)をホストしています。正規のKubernetes AIエージェントツールを模倣し、開発者環境に自然に溶け込みます。
ドロッパースクリプトはLinuxとmacOSのクロスプラットフォームインストールを実装し、既存のkagentインスタンスを強制終了し、systemdユーザーサービス、cronエントリ、またはmacOS LaunchAgentsを介して永続性を設定しながら、隠しディレクトリに静かにログを記録します。
ペイロード自体はUPXでパックされた、静的にリンクされたGoバイナリであり、その文字列と動作はNKAbuseと一致します。これは、回復力のある匿名C2通信のためにNKNブロックチェーンプロトコルを悪用するマルチプラットフォームマルウェアファミリです。
このキャンペーンが重要な理由
以前のNKAbuseアクティビティは主にCVE-2017-5638などの長い間パッチされた脆弱性を介してLinuxシステムをターゲットとしていました。一方、この波はmarimoの新しい認証前RCEをHugging Face でホストされたペイロードと組み合わせ、AI/ML開発者ワークステーション向けにカスタマイズされています。
開発者ノートブック環境は、通常クラウド認証情報、SSHキー、内部データパイプラインへの直接アクセスを保持しているため、ここに持続的なバックドアがあると、より広いクラウドネイティブ侵害への扉を開くことができます。
implantをhf.spaceでホストすることにより、攻撃者は広く信頼されているAIプラットフォームのクリーンな評判に乗じることができます。これは、ステージングのためにHugging Faceリポジトリを活用したAndroid RATキャンペーンですでに見られているパターンです。
悪用の速度、AI/MLツーリングへの焦点、および配布のための評判の高いプラットフォームへの依存は、脅威アクターがいかに急速に最新の開発者とデータサイエンスワークフローに適応しているかを示しています。
防御者は、CVE-2026-39987に対して脆弱なすべてのmarimoインスタンスを直ちに特定およびパッチする必要があります。インターネットに公開されているか、信頼されていないネットワークから到達可能な場合を優先してください。
すぐにアップグレードできない環境は、強い認証、ネットワークセグメンテーション、およびできればWebアプリケーションファイアウォールルールによるアクセス制限を使用して、既知の悪用パターンをブロックする必要があります。
セキュリティチームは、vsccode-modetxを参照する疑わしいcurl bashの実行、~/.kagentディレクトリの存在、異常なsystemdユーザーサービス、および開発者ワークステーションからのアウトバウンドNKN関連トラフィックを含む侵害の兆候を探す必要があります。
より広くは、組織はAI/MLインフラストラクチャの周りでより強力なコントロールが必要であり、Hugging Face、GitHub、PyPIなどのドメインを本質的に安全なものとして扱うべきではなく、代わりにコンテンツ検査とこれらのプラットフォームから発信されるダウンロードへのホワイトリストを適用する必要があります。
侵害の指標
| 指標 | タイプ | コンテキスト |
| https://vsccode-modetx.hf.space/ | ペイロードホスト | HuggingFace Space(「VS Code」を誤字) |
| https://vsccode-modetx.hf.space/install-linux.sh | ドロッパーURL | 3つの方法ダウンロードフォールバック付きシェルスクリプト |
| https://vsccode-modetx.hf.space/kagent | バイナリURL | UPXパックされたNKAbuseバリアント |
| bskke4.dnslog.cn | DNSオラクル | OOB RCE確認(203.10.98.186で使用) |
