Em Alta Copa do Mundo NotíciasPessoasAcontecimentos internacionaisPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Ransomware JADEPUFFER usa IA para conduzir ataques

JADEPUFFER usa IA para invasões autônomas via Langflow, mirando chaves de API, credenciais na nuvem e dados sensíveis; criptografia aleatória dificulta recuperação

Photo
0:00
Carregando...
0:00
  • O ransomware JADEPUFFER é descrito como uma ameaça “agêntica” que usa IA para planejar, adaptar e executar ações com alto grau de autonomia no ambiente comprometido.
  • A campanha começou em uma instância do Langflow exposta na internet, explorando a falha CVE-2025-3248 que permite executar código Python sem autenticação.
  • O agente enviou comandos codificados em Base64 para mapear o sistema, identificar processos, checar interfaces de rede e buscar credenciais armazenadas.
  • Procurou chaves de API de serviços como OpenAI, Anthropic, DeepSeek e Gemini, além de credenciais de nuvem (AWS, Azure) e carteiras de criptomoedas, frases-semente e configs de bancos de dados.
  • Também acessou a base interna do Langflow para extrair registros de usuários, encontrou o serviço MinIO com credenciais padrão, listou buckets e coletou arquivos sensíveis; a chave de criptografia foi gerada aleatoriamente e não salva, tornando a recuperação incompatível mesmo com pagamento.

Um ransomware chamado JADEPUFFER foi identificado como uma ameaça com alto grau de autonomia, capaz de planejar, adaptar e executar ações dentro de um ambiente comprometido por meio de um agente de IA. A campanha foi detectada após a captura de cargas maliciosas usadas na intrusão.

Os pesquisadores descrevem o JADEPUFFER como uma ameaça “agêntica”, que opera com etapas de invasão quase autônomas. A partir de uma exploração inicial, o agente analisa o ambiente, mapeia recursos e busca credenciais críticas para ampliar o acesso.

A invasão teve início em uma instância do Langflow exposta na internet, explorando a CVE-2025-3248, falha que permite executar código Python sem autenticação. Após o acesso, o ransomware enviou comandos codificados em Base64 para identificar componentes e interfaces de rede.

Detalhes da exploração

O objetivo do JADEPUFFER foi obter chaves de API de serviços como OpenAI, Anthropic, DeepSeek e Gemini, além de credenciais de nuvem da AWS, Azure e outros provedores. Também foram buscadas carteiras de criptomoedas, frases-semente e arquivos de configuração de bancos de dados.

O agente acessou a base interna do Langflow para extrair registros de usuários e credenciais salvas. Em seguida, localizou um serviço MinIO com credenciais padrão, listou buckets de armazenamento e coletou arquivos sensíveis.

A análise aponta que a chave de criptografia do ataque foi gerada aleatoriamente e não foi armazenada. Assim, a recuperação dos dados seria inviável mesmo em caso de pagamento.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais