Después de explotar la red Marimo de acceso público utilizando vulnerabilidades reveladas recientemente y obtener acceso inicial, se ha observado que atacantes desconocidos utilizan agentes de modelo de lenguaje a gran escala (LLM) para realizar acciones posteriores al compromiso.
«El atacante comprometió una computadora portátil Marimo con acceso a Internet a través de CVE-2026-39987, extrajo dos credenciales de nube del host comprometido, las reprodujo a través de un grupo de salida desplegado para obtener una clave privada SSH de AWS Secrets Manager y usó esa clave para realizar ocho sesiones SSH cortas en un servidor bastión SSH descendente», dijo Sysdig.
«Durante la fase de lanzamiento, el esquema y el contenido completo de una base de datos interna PostgreSQL quedaron expuestos en dos minutos».
CVE-2026-39987 hace referencia a una vulnerabilidad crítica de ejecución remota de código previamente autenticado que afecta a todas las versiones de Marimo anteriores a la 0.20.4. Permite que un atacante no autenticado ejecute comandos arbitrarios del sistema. Este problema se resolvió en la versión 0.23.0 lanzada el mes pasado.
Desde entonces, los atacantes han explotado activamente esta falla de seguridad para iniciar un reconocimiento manual de los sistemas honeypot en un intento de recopilar datos confidenciales.
La última actividad documentada por Sysdig sigue el mismo patrón, con la principal diferencia de que se utilizó un agente LLM para impulsar la actividad posterior a la explotación. Según la empresa de seguridad en la nube, el incidente se registró el 10 de mayo de 2026 y el atacante recopiló credenciales del entorno y utilizó las claves de acceso de AWS recopiladas para realizar llamadas API a AWS Secrets Manager para obtener claves privadas SSH.
Varios minutos más tarde, el atacante supuestamente utilizó la clave obtenida para realizar una autenticación SSH inicial en el servidor bastión SSH, luego inició ocho sesiones SSH paralelas a servidores posteriores para desviar la base de datos interna PostgreSQL. La cadena de ataques de un extremo a otro duró poco más de una hora.
Sysdig dijo que encontró cuatro indicadores de que agentes de LLM estaban detrás de la actividad. Primero, el atacante creó un volcado de base de datos improvisado sin conocimiento previo del esquema. En segundo lugar, al realizar una búsqueda de credenciales, un comentario de planificación chino, «capacidad visual 什么», que significa «veamos qué más podemos hacer», se filtró directamente en la secuencia de comandos.
«Aunque el nombre de host de la base de datos era opaco, no había ningún identificador de aplicación en el disco y no se preparó ningún volcado de esquema con anticipación, la cadena aún llegó a la tabla de credenciales en cuestión de minutos», dijo Sysdig. «Un atacante ya no necesita ver el entorno para operar dentro de él».
La tercera señal es que todos los mandos están pensados para el consumo de la máquina. Cada comando está separado por un delimitador «—» y, con captura de salida limitada, los comandos «less» se desactivan y el flujo de error (stderr) se descarta para minimizar el ruido.
Finalmente, el traspaso de valor se obtiene de la salida de la herramienta anterior. En otras palabras, la forma en que se extrae un valor particular, como la contraseña de una base de datos, significa que el agente de IA está alimentando su salida anterior (ejecutando el comando cat en el archivo «~/.pgpass») a su siguiente acción.
Otro ejemplo es un comando cat que imprime el contenido de un archivo en particular (‘cat ~/.ssh/id_ed25519’), seguido de un comando ls (‘list’) que pasa el mismo patrón de archivo como entrada (‘ls -la ~/.ssh/id_ed25519*’) y verifica que la clave SSH exista.
«Cuando un operador con guión crea un manual por objetivo y lo reutiliza, el tiempo de ingeniería es la barrera para agregar nuevos objetivos», concluye Sysdig. «Sin embargo, el operador del agente mantiene un conocimiento previo general sobre la clase de aplicaciones y configura la cadena en vivo para que se ajuste mejor a su objetivo. El criterio aquí es el presupuesto de inferencia, no el autor del manual».
«Una característica relevante de los defensores del agente en el ciclo es la adaptabilidad. Cuando un atacante con script encuentra un archivo faltante, un esquema inesperado o una falla de autenticación, se suspende o cae en un respaldo codificado. El agente lee la sorpresa, decide qué intentar a continuación y continúa».
Para combatir esta amenaza, recomendamos que los usuarios actualicen a la última versión de Marimo, auditen sus entornos en instancias de acceso público y roten sus credenciales, claves API y claves SSH.
Source link
