Dark Reading melder om en ny infostealer, Djinn, som er bygget for ett formål: å samle inn legitimasjon til KI-APIer og skytjenester. Der eldre stealere tok alt fra nettleserpassord til kryptolommebøker, går Djinn målrettet etter det som gir tilgang til regningen din.
Veien inn er CVE-2026-48558, en kritisk autentiseringsomgåelse i fjernstyringsverktøyet SimpleHelp. Feilen lar en angriper hoppe over innlogging og kjøre kode på maskiner som eksponerer SimpleHelp mot nett. Når Djinn først er inne, leter den gjennom miljøvariabler og config-filer der API-nøkler typisk ligger i klartekst.
For deg som bygger på KI-APIer er nøkkelen selve nøkkelen til kontoen. En lekket OpenAI- eller Anthropic-nøkkel kan brukes til å kjøre opp forbruket ditt eller hente data via dine kvoter, ofte før du oppdager noe på fakturaen. Det samme gjelder skytokens som ligger igjen i et .env-oppsett på en server du glemte at kjørte SimpleHelp.
Hva bør du gjøre?
- Oppdater SimpleHelp til siste versjon umiddelbart hvis du kjører verktøyet selv, og legg det bak VPN i stedet for åpent mot nett.
- Roter API-nøkler for KI- og skytjenester på maskiner som har eksponert SimpleHelp, og sett opp forbruksvarsler så et kapret nøkkelsett ikke kan tømme kvoten i stillhet.
- Flytt nøklene ut av klartekst og inn i en secrets-manager eller et miljø som ikke ligger som lesbare filer på disk.