ShadowRay 2.0-angrep eksponerer Ray-klynger for en ny bølge av kryptoutvinning og datatyveri. Nøkkelordet kommer tidlig og naturlig inn i teksten. Trusselaktører utnytter nå en langvarig svakhet i jobbinnsendingen for å kjøre ondsinnede oppgaver i distribuerte AI- og maskinlæringsmiljøer. Organisasjoner som bruker Ray-klynger til forskning, trening eller storskala beregninger står overfor økt risiko når kontrollgrensesnitt står åpne eller dårlig sikret.
Hvordan ShadowRay 2.0 fungerer
ShadowRay 2.0 utnytter en sårbarhet i Ray Jobs API som lar angripere sende inn vilkårlige oppgaver uten autentisering. Når angriperen får tilgang til det eksponerte grensesnittet, kan de sende inn payloads som klyngen automatisk planlegger og kjører på tvers av nodene. Denne prosessen gjør det mulig å ta kontroll over hele klyngen i ett enkelt steg.
Etter at angriperen får kontroll, sprer Bash- og Python-skript seg mellom nodene. Payloaden installerer en optimalisert kryptominer, vanligvis konfigurert til å holde seg skjult ved å maskere CPU- og GPU-forbruket sitt. Minereren bruker Rays distribuerte beregningslag for å maksimere produksjonen. De ondsinnede skriptene blokkerer også konkurrerende minere ved å endre vertregler eller brannmurkonfigurasjoner.
ShadowRay 2.0 stopper ikke ved mining. Payloaden åpner fjernskall, henter autentiseringsopplysninger, kopierer proprietære AI-modeller og tømmer sensitive prosjektfiler. Noen varianter inkluderer også DDoS-moduler som gjør Ray-noder til trafikkgenererende botnettkomponenter. Fordi Ray håndterer arbeidsoppgaver med høye privilegier, arver angriperen et kraftig og høyt prioritert miljø.
Hvorfor angrepet er alvorlig
Ray-klynger driver AI-arbeidsflyter, reinforcement learning-trening, distribuerte Python-applikasjoner og databehandlingspipelines. Mange organisasjoner implementerer dem raskt og antar at de kun er tilgjengelige internt. ShadowRay 2.0 angriper denne antakelsen. Tusener av klynger kjører på offentlige nettverk eller dårlig segmenterte interne nett, noe som gir angripere en enkel inngangsvei.
Når angripere konverterer en klynge til et kryptomining-botnett, reduseres ytelsen, arbeidsflyter skades og organisasjoner påføres økonomiske og operasjonelle tap. Når de får tilgang til modeller og datasett, øker risikoen ytterligere. Stjålne modeller kan inneholde proprietær forskning, immaterielle rettigheter eller sensitivt treningsmateriale.
Hva organisasjoner må gjøre
Organisasjoner som bruker Ray-klynger må handle umiddelbart:
- Skann etter offentlig tilgjengelige Ray-grensesnitt og isoler dem fra internett.
- Begrens port 8265 og andre kontroll-API-er til betrodde interne soner.
- Aktiver autentisering for jobbinnsending og administrasjon av klynger.
- Gå gjennom arbeidsoppgaver for mistenkelige innsendinger, uvanlige navn eller gjentatte planlegginger.
- Inspiser noder for høy CPU/GPU-belastning, ukjente prosesser eller endrede cron-jobber.
- Overvåk utgående trafikk for tegn på mining-pooler eller uautoriserte dataoverføringer.
Kontinuerlig overvåking er avgjørende fordi ShadowRay sprer seg gjennom interne planleggingsmekanismer. Logging, telemetri og atferdsbaserte varsler hjelper team å reagere før klyngen blir et fullt botnett.
Strategisk vurdering
ShadowRay 2.0 viser hvordan angripere nå retter seg mot AI-infrastruktur i stedet for tradisjonelle servere. Moderne klynger kombinerer høy datakraft med svake tilgangskontroller, noe som gjør dem svært attraktive som mål. Sikkerhetsteam må behandle AI-systemer som forretningskritiske ressurser ved å implementere nulltillit-segmentering, sterk autentisering og hyppige revisjoner av interne API-er.
Konklusjon
ShadowRay 2.0-kampanjen forvandler Ray-klynger til kryptomining-botnett og plattformer for datatyveri. Organisasjoner som er avhengige av distribuert AI-infrastruktur må sikre miljøene sine, begrense tilgang og overvåke for tegn på kompromittering. Rask handling beskytter beregningsressurser, bevarer dataintegritet og hindrer angripere i å utnytte kraftige klyngeøkosystemer.
0 svar til “ShadowRay 2.0 gjør Ray-klynger om til kryptoutvinnings-botnett”