返回
快讯

Langflow RCE 遭利用在暴露 AI 应用端点部署 Monero 矿工

威胁行为者正利用 Langflow 的高危 RCE 漏洞 CVE-2026-33017,对暴露的 AI 应用端点发动新一轮攻击,投放 Monero 挖矿程序,并借助 SSH 复用键横向传播,尝试关闭防护、清除痕迹并维持持久化。

CVE-2026-33017CVE-2025-3248

威胁行为者正在继续利用一个关键的 Langflow 漏洞,作为一波新攻击的一部分,这些攻击旨在投放 Monero cryptocurrency miner。

这次活动被发现将 CVE-2026-33017(CVSS score: 9.3)武器化,这是一项 Langflow 中未经身份验证的远程代码执行(RCE)漏洞,表明威胁行为者正在扫描并针对暴露的 artificial intelligence(AI)应用端点,以获取进入企业网络的初始访问权限。该攻击是在 2026 年 3 月 27 日至 4 月 15 日之间一个为期 19 天的窗口内被观察到的。

Trend Micro 研究员 Simon Dulude 和 John Zhang 在上周发布的一份技术报告中表示:“在这次 campaign 中,在未经身份验证的 Langflow API endpoint 内执行的一行 Python code 会拉取一个 shell script,获取一个 miner binary,并将其以 detached 方式启动。”

从高层来看,malware 被设计用来终止与 Kinsing、WatchDog、Rocke 和 Outlaw 相关的竞争 cryptocurrency miner processes,删除对手的 wallet 和 key material,禁用 host-level security controls,建立基于 cron 的 persistence,向外部 server(“83.142.209[.]214:80)进行 beaconing,并部署一个 custom miner。它还可以通过复用的 SSH keys 传播到其他系统,实际上把一个暴露的 Langflow instance 变成通往更广泛 compromise 的路径。

这涉及利用 Langflow 漏洞来运行一个由攻击者提供的 Python script,而该脚本又被配置为启动一个远程托管的 shell script;这个 shell script 充当 dropper,其主要职责是检查名为 “lambsys” 的 binary 是否已经在主机上运行。

随后,它使用 curl 或 wget 在机器上下载该 binary,以 detached process 的方式启动它,并将自身扩散到受害者能够通过 SSH 认证访问的每一台 host。这个 binary 是一个用 Go 编写的 ELF executable,同时还被设计用来禁用 AppArmor、Ubuntu's Uncomplicated Firewall、iptables、SELinux、kernel NMI watchdog,以及 Alibaba Cloud 的 Aliyun agent。

此外,malware 会删除 system logs 来掩盖踪迹,并从诸如 “~/.ssh/,” “~/.ssh/authorized_keys,” “/etc/crontab,” 和 “/etc/ld.so.preload,” “/tmp/,” “/var/tmp/,” 以及 “/var/spool/cron” 之类的文件上移除 immutable attribute,以便进行修改,然后再把 immutable attribute 重新应用到 “/tmp/” 和 “/var/tmp/。”

非法 cryptocurrency mining operations 众所周知会把 “chattr +i” attribute 设置到这些文件上,以确保它们不能被任何用户修改、重命名或删除,即使是 superuser 也不行。该 binary 的行为反映出,这个 operation 背后的 threat actor 清楚 rival cryptojacking groups 所采用的 persistence methods。

在最后阶段,该 binary 联系同一个 server 以获取一个 TAR archive,并从中提取一个定制的 XMRig miner。一旦 miner 开始执行,archive file 就会从 file system 中被抹除。它还会向 ipinfo[.]io 发送请求,以获取主机的 public IP address 和 location,从而让 threat actors 可以在运行时即时作出 operational decisions。

第一个是 pool selection。由于 mining pools 往往在地理上分布广泛,把 miner 连接到靠近受害者的 pool 可以减少 latency 并最大化 hash rate。获取这些信息的第二个原因是 geo-fencing,因为这给了 threat actors 一种排除某些地区受害者的方法。

研究人员解释说:“Lambsys 并不是以 Go functions 的方式运行其攻击逻辑。相反,它会 fork 出一连串短暂存活的 sh -c subprocesses,每个 subprocess 执行一条 shell command(一个 pkill、一个 chattr、一个 sysctl)。这种设计用可靠性换取 stealth。如果 51 条 pkill 命令中的一条失败,失败只会被限制在那个 subprocess 内,而其他 50 条会继续执行。”

Trend Micro 表示,同一 binary 前一版本的一个 artifact 是在 2024 年 5 月编译的,这表明该 campaign 背后的 threat actors 可能已经对这个 family 进行了两年以上的迭代,同时也在采取措施规避 antivirus tools 的检测。

在过去一年里,Langflow 中的多项 security flaws 已经开始被积极利用。2025 年 6 月,另一个 critical vulnerability(CVE-2025-3248,CVSS score: 9.8)被滥用来分发 Flodrix botnet malware。

Trend Micro 说:“这场 cryptocurrency-mining campaign 表明,暴露的 AI application endpoints 正在成为进入 enterprise environments 的另一条路径。payload 也许很熟悉,但 delivery vector 并不熟悉。一个 Langflow vulnerability 为 commodity cryptominer operators 给运行 AI application infrastructure 的系统提供了一个新的 front door。”