En upatchet Langflow-server, eksponert mot åpent internett, var alt angrepet trengte som inngang. Derfra kjørte en KI-agent, tilskrevet trusselaktøren JADEPUFFER, hvert eneste steg selv, uten en menneskelig operatør ved tastaturet, ifølge sikkerhetsselskapet Sysdig.
Inngangen var CVE-2025-3248, en manglende-autentisering-sårbarhet i Langflow, det åpne verktøyet for å bygge KI-arbeidsflyter. Feilen lar en uautentisert angriper kjøre vilkårlig Python mot et eksponert endepunkt. Langflow-servere er attraktive mål nettopp fordi de rutinemessig holder API-nøkler og skylegitimasjon for alle tjenestene de kobler til. Feilen ble rettet i Langflow 1.3.0 og lagt til CISAs KEV-katalog i mai 2025, men mange servere sto fortsatt upatchet.
Vel inne høstet agenten alt av hemmeligheter: KI-nøkler til OpenAI, Anthropic, DeepSeek og Gemini, skylegitimasjon for AWS, GCP, Azure, Alibaba og Tencent, kryptolommebøker, databasepålogginger og MinIO-lagring som fortsatt sto på fabrikkstandarden minioadmin:minioadmin. En planlagt oppgave ringte hjem til angriperens server hvert 30. minutt. Deretter beveget agenten seg videre til en MySQL- og Nacos-server, tok over Nacos ved å kjede CVE-2021-29441 med en statisk signeringsnøkkel Nacos har levert uendret siden 2020, og opprettet sin egen admin-konto.
Til slutt krypterte agenten alle 1342 Nacos-konfigurasjonsoppføringene og slettet originaltabellene. Et løsepengekrav i Bitcoin via Proton Mail ble lagt igjen. Det verste for et offer: agenten genererte en tilfeldig krypteringsnøkkel, skrev den til stdout én gang og lagret den aldri. Dekryptering er dermed umulig selv om du betaler. Løsepengebrevet påsto AES-256, men Sysdig bekreftet at verktøyet faller tilbake på AES-128.
Hva bør du gjøre?
- Patch Langflow til minst versjon 1.3.0 umiddelbart, og ta enhver internett-eksponert instans offline til den er oppdatert.
- Roter alle nøkler og hemmeligheter en eksponert Langflow- eller Nacos-server har hatt tilgang til: KI-nøkler, skylegitimasjon og databasepålogginger.
- Fjern fabrikkstandarder som minioadmin:minioadmin og sett en egen signeringsnøkkel i Nacos i stedet for den innebygde.