AI界面遭劫持:Open WebUI被滥用于挖矿程序与隐蔽AI恶意软件
攻击活动概述
Sysdig威胁研究团队(TRT)发现一起恶意攻击活动,攻击者利用配置错误的Open WebUI实例(一种用于定制大语言模型LLM的AI界面)部署挖矿程序、信息窃取工具乃至AI辅助的恶意软件。该Open WebUI实例不仅公开暴露且具备管理员权限,更未设置任何身份验证机制。
攻击技术细节
- 漏洞利用:攻击者利用Open WebUI支持扩展插件上传的功能(该项目在GitHub已获超95,000星标),上传了恶意AI生成的Python脚本
- 脚本特性:采用PyObfuscator进行深度混淆(Sysdig将其命名为pyklump技术),通过Base64编码并反转64次后,利用Python的exec()函数执行
- 恶意功能:
- 下载安装T-Rex和XMRig等挖矿程序
- 使用基于C语言的自定义加载器规避检测
- 通过systemd实现持久化驻留
- 利用Discord的webhook外泄数据
高级规避技术
攻击者采用运行时编译内联C源代码等先进手段:
- processhider:从ps等系统工具中隐藏进程名称
- argvhider:挂钩main()函数并清除/proc/[pid]/cmdline中的挖矿参数
- 持久化机制:伪装成合法AI工具组件,创建名为ptorch_updater的systemd服务
跨平台攻击路径
在Windows系统中,攻击链发生转变:
- 下载Java开发工具包(JDK)执行恶意JAR加载器
- 加载器提取并运行INT_D.DAT和INT_J.DAT等隐藏二进制文件
- 实施基于Agent的DLL注入,窃取Chrome、Discord及系统令牌
- 使用WebSocket和PowerShell建立命令与控制通道
数据窃取与收益
攻击者已窃取包括Discord令牌、Chrome扩展凭证和系统硬件数据在内的敏感信息。其门罗币(XMR)钱包虽无法追踪,但Ravencoin钱包显示近700美元收益,证实此次攻击具有明确经济动机。
安全启示
大语言模型及其插件生态系统可能被滥用于自动化恶意软件分发。随着攻击技术演进,防御方需采用基于实时行为分析的安全方案保持领先优势。