- Os pesquisadores encontraram 98 instâncias do OpenWebUI sem autenticação
- 45 já estavam comprometidos e 33 mostraram sinais de compromisso
- Servidores infectados roubam silenciosamente criptomineradores e malware
Uma campanha maliciosa direcionada à popular interface OpenWebUI AI sequestrou servidores de IA para extrair criptomoedas e roubar credenciais.
Isso está de acordo com pesquisadores da Cybernews, que encontraram 98 instâncias do OpenWebUI que não possuíam proteção de autenticação.
Além disso, mais de 2.000 servidores foram deixados abertos para registro de usuários, permitindo que qualquer pessoa criasse uma conta e obtivesse acesso.
O artigo continua abaixo
Servidores de IA desprotegidos que distribuem malware
OpenWebUI é uma interface popular de código aberto usada por muitas empresas e indivíduos para interagir com grandes modelos de linguagem (LLM) e modelos hospedados localmente por meio de um painel da web.
Dos 98 servidores não autenticados, 45 já estavam comprometidos. Outros 33 estavam enfrentando conflitos de configuração e erros de sistema, e apenas 11 operavam normalmente, sem qualquer indicação de perigo.
Descobriu-se que os servidores infectados distribuíam e executavam malware usado para mineração de criptomoedas e roubo de credenciais confidenciais. O malware conseguiu se esconder da detecção revertendo repetidamente as sequências de bytes, decodificando os dados Base64 e descompactando-os usando Zlib até que fosse capaz de pagar a carga útil.
Ele também continha webhooks do Discord que faziam ping no desenvolvedor do malware sempre que o malware comprometia um novo servidor.
De acordo com os pesquisadores da Cybernews, muitos dos scripts Python encontrados nos servidores comprometidos mostraram evidências de geração de IA, com estilos de codificação inconsistentes e vários graus de complexidade.
Para proteger as instâncias do OpenWebUI contra vulnerabilidades, os pesquisadores recomendam seguir as seguintes etapas:
- Certifique-se de que os recursos de autenticação estejam ativados e que novos registros exijam aprovação do administrador.
- Garanta o isolamento adequado da instância usando a lista de permissões de IP e configure um proxy que exija autenticação adicional para a API OpenWebUI até que o OpenWebUI resolva o problema.
- Configure pipelines de monitoramento para detectar carregamento não autorizado de “Ferramentas” e modelos não autorizados em execução na sua instância.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
