Güvenlik firması Sysdig, bir yapay zeka aracısı tarafından baştan sona gerçekleştirilen ilk fidye yazılımı saldırısı olduğuna inandığı şeyi bulduğunu söyledi.
Tehdit Araştırma Ekibi, operatör JADEPUFFER'ı arıyor ve büyük bir dil modelinin tüm işi hallettiğini söylüyor: içeri girmek, kimlik bilgilerini çalmak, ağın derinliklerine inmek, ardından bir şirketin üretim veritabanını şifrelemek ve silmek.
Fidye yazılımı, döngünün herhangi bir yerinde, klavyede veya kötü amaçlı yazılımın takip ettiği komut dosyasını yazarken yetenekli bir kişiye her zaman ihtiyaç duymuştur. Bir model bu adımları kendi başına zincirleyebiliyorsa, bir saldırıyı gerçekleştirmek için gereken beceri, bir yapay zeka aracısı kiralamanın maliyetine düşer.
Giriş yolu eski, zaten yamalı bir hataydı. JADEPUFFER, yapay zeka uygulamaları ve aracı iş akışları oluşturmaya yönelik açık kaynaklı bir araç olan Langflow'taki eksik kimlik doğrulama kusuru olan CVE-2025-3248'den yararlandı. Bu kusur, sunucuya ulaşabilen herkesin oturum açmaya gerek kalmadan kendi Python kodunu çalıştırmasına olanak tanıyor.
Langflow kutuları cazip bir hedeftir çünkü genellikle internette açıkta dururlar ve bağlandıkları hizmetler için API anahtarlarını ve bulut kimlik bilgilerini tutarlar.
Kusur, Langflow 1.3.0'da düzeltildi ve Mayıs 2025'te CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları listesine eklendi, ancak birçok sunucu hiçbir zaman güncellenmedi. Hatta bu şekilde etkilenen tek Langflow hatası da değil.
Ajan içeri girer girmez hızlı bir şekilde çalıştı ve etrafı temizledi. Makinenin haritasını çıkardı ve ardından sırları taradı: AI hizmetleri için API anahtarları (OpenAI, Anthropic, DeepSeek, Gemini), bulut kimlik bilgileri (AWS, Google ve Azure'un yanı sıra Alibaba ve Tencent gibi Çinli sağlayıcılar), kripto cüzdan anahtarları ve veritabanı oturum açma bilgileri.
Teknik Analiz
Hiçbir zaman değiştirilmemiş olan fabrika varsayılan giriş bilgilerini (minioadmin:minioadmin) kullanarak bir MinIO depolama sunucusuna baskın düzenledi. Ayrıca, saldırganın sunucusuna her 30 dakikada bir ping gönderen zamanlanmış bir görev ekleyerek geri dönmenin bir yolunu da oluşturdu.
Daha sonra gerçek hedefine yöneldi: MySQL veritabanını ve mikro hizmet kurulumlarında yaygın olarak kullanılan bir ayarlar ve hizmet dizini olan Alibaba'nın Nacos'unu çalıştıran, internete bakan ayrı bir sunucu. Aracı veritabanına root olarak giriş yaptı.
Sysdig, bu kök kimlik bilgilerinin nereden geldiğini asla görmediğini, dolayısıyla kökenlerinin bilinmediğini söylüyor. Oradan, 2021 kimlik doğrulama atlamasını (CVE-2021-29441) ve Nacos'un 2020'den bu yana değişmeden gönderdiği varsayılan imzalama anahtarını kullanarak Nacos'u devraldı ve ardından kendi yönetici hesabını yerleştirdi.
Anahtarsız Fidye Notu
Önemli Gelişmeler
Aracı, 1.342 Nacos ayarının tamamını şifreledi, orijinal tabloları bıraktı ve Proton Mail bağlantısıyla Bitcoin talep eden bir fidye notu bıraktı. Rastgele bir şifreleme anahtarı oluşturdu, bunu ekrana bir kez yazdırdı ve hiçbir zaman kaydetmedi veya hiçbir yere göndermedi.
Teslim edilecek bir anahtar yok. Mağdur, ödeme yapsa dahi verileri geri alamamaktadır. (Notta AES-256 olduğu iddia ediliyor; Sysdig, kullandığı aracın varsayılan olarak daha zayıf AES-128 olduğunu ancak sonuç aynı olduğunu belirtiyor.)
Nasıl Önlem Alınmalı?
Daha sonra daha da ileri giderek tüm veritabanlarını sildi ve kendi kodunda, verileri zaten başka bir yere kopyaladığını iddia eden bir yorum bıraktı.
Sysdig, bunun ajanın konuştuğunu, ekibin doğrulayabileceği bir şey olmadığını ve gerçekte herhangi bir veri kaldığına dair hiçbir kanıt bulamadığını söylüyor.
Uzmanlar Yapay Zekanın Sürüş Yaptığını Nasıl Biliyor?
Sistem Güvenliği
En açık işaret kodun kendisiydi. Saldırı verileri, her adımın neden atıldığını açıklayan sade İngilizce notlarla doluydu; bir bilgisayar korsanının asla yazmaya zahmet etmediği, ancak bir modelin varsayılan olarak ürettiği sürekli yorumlar. Temsilci aynı zamanda makine hızındaki kendi hatalarını da düzeltti.
Detaylar ve Etkileri
Bir durumda, başarısız bir oturum açma işleminden 31 saniye içinde doğru, çok adımlı bir düzeltmeye geçildi ve körü körüne yeniden denemek yerine kesin nedeni teşhis edildi. Sysdig, operasyon genelinde 600'den fazla ayrı, amaca yönelik yük saydı.
Bir ayrıntı hala bir bilmecedir. Fidye notundaki Bitcoin adresi, Bitcoin'in kendi geliştirici belgelerinde görünen örnek adresin aynısıdır; bu, bu modellerin üzerinde eğitim aldığı metnin her yerinde göründüğü anlamına gelir. Aynı zamanda uzun bir ödeme geçmişine sahip gerçek, aktif bir cüzdandır.
Sonuç ve Değerlendirme
Sysdig, modelin hafızadan tanıdık görünen bir adresi mi yapıştırdığını yoksa operatörün kasıtlı olarak ünlü örnekle eşleşen gerçek bir cüzdan mı kullandığını anlayamıyor.
Daha Büyük Bir Değişimin Parçası
JADEPUFFER, yapay zeka odaklı saldırılar için hızla ilerleyen bir yılın en son adımıdır. Ağustos 2025'te ESET'teki araştırmacılar, yapay zeka destekli ilk fidye yazılımı olarak ilan edilen PromptLock'u işaretledi; Daha sonra bunun gerçek bir saldırı değil, NYU'nun Ransomware 3.0 adlı bir laboratuvar prototipi olduğu ortaya çıktı.
Uzmanların Görüşleri
Aynı sıralarda Anthropic, Claude'u kullanan gerçek bir gasp kampanyası bildirdi. Kod aracı, 500.000 doları aşan taleplerle en az 17 kuruluşa ulaşacak, ancak bunu hâlâ bir insan yönetiyor.
Kasım 2025'te Anthropic, Claude'un çok az insan yardımı ile açıklardan yararlanmasını ve verileri çalmasını sağlayan, Çin devletiyle bağlantılı bir casusluk çabası olan ve büyük ölçüde özerk olan ilk siber saldırı olarak adlandırdığı şeyi açıkladı. Bu operasyon aynı zamanda, muhtemelen JADEPUFFER'in tuhaf Bitcoin adresinin arkasındaki aynı türden bir halüsinasyon olan, yapay zeka icat eden, var olmayan kimlik bilgilerine de sahipti.
Ciddi bir saldırının parçaları otomatikleşiyor ve eski, yama yapılmamış yazılımlar ilk kolay hedef oluyor. Aracılar, bilinen hataların tüm arka kataloğunun püskürtülmesini neredeyse ücretsiz hale getiriyor, böylece ihmal edilen sunucular daha az değil, daha fazla açığa çıkıyor.
Gelecekte Ne Bekleniyor?
Savunmacılar Ne Yapmalı?
Düzeltmeler tanıdık. Langflow'a yama yapın ve kod çalıştıran uç noktalarını asla internete maruz bırakmayın. Yapay zeka araçlarını, bulut anahtarları ve sağlayıcı kimlik bilgileri kendi ortamlarında dururken çalıştırmayın; Sırları uygun bir yöneticide, internetin erişebileceği her şeyden uzakta saklayın.
Harden Nacos: Varsayılan imzalama anahtarını değiştirin, genel internetten uzak tutun ve veritabanına root olarak bağlanmasına asla izin vermeyin. Asla bir veritabanının yönetici hesabını internete maruz bırakmayın ve saldırıya uğramış bir sunucunun eve telefon edememesi için giden trafiği kilitlemeyin.
Saldırganlar artık yeni bir tavsiyeyi saatler içinde silah olarak kullanabildiği için Sysdig, çalışma zamanında kötü davranışları izlemenin yama için yarışmaktan daha önemli olduğunu savunuyor.
Sysdig'in bu operasyona ilişkin yayınladığı göstergeler şunları içeriyor:
Giriş noktası: CVE-2025-3248 (Langflow kimliği doğrulanmamış uzaktan kod yürütme)
Komuta ve kontrol: 45.131.66[.]106, hxxp://45.131.66[.]106:4444/beacon'a her 30 dakikada bir işaret ile
Talep edilen hazırlama sunucusu: 64.20.53[.]230
Fidye Bitcoin adresi: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; e78393397[@]proton[.]benimle iletişime geçin; README_RANSOM adlı fidye tablosu
Sysdig, JADEPUFFER'ı bir krizden ziyade bir uyarı işareti olarak nitelendiriyor. Bireysel hareketlerin hiçbiri zekice ya da yeni değildi. Yeni olan şey, bir modelin onları ihmal edilmiş bir sunucuya karşı kendi başına tam bir saldırıya sokmasıdır.
Aracı araçları olgunlaştıkça aynı şeyin daha fazlasını bekleyin ve açığa çıkan herhangi bir sunucuya, yapılandırma deposuna veya veritabanı yöneticisi oturum açma bilgilerine yalnızca bir kişinin değil, bir makinenin inceleyeceği bir şey olarak davranın.