O ator de ameaça rastreado como JadePuffer explorou o CVE-2025-3248 (CVSS 9.8) — uma falha crítica de autenticação ausente no framework open source Langflow — para conduzir o que a Sysdig classifica como o primeiro caso público de ataque de ransomware “agentico” documentado em detalhes. Um LLM foi usado, do início ao fim da operação, para reconhecimento, extração de credenciais, movimentação lateral e implantação de persistência, com narração em linguagem natural de suas próprias decisões dentro do payload.
De acordo com o relatório publicado pela empresa de segurança em nuvem Sysdig, o vetor de entrada foi uma instância exposta do Langflow — framework Python-based e LLM-agnóstico, amplamente usado para construir aplicações e workflows de agentes com modelos de linguagem. A vulnerabilidade explorada, CVE-2025-3248, é uma falha de autenticação ausente divulgada em abril e adicionada em maio ao catálogo Known Exploited Vulnerabilities (KEV) da CISA como sob exploração ativa. Ela permite execução arbitrária de código Python no host que roda o Langflow.
Depois de obter execução de código, o JadePuffer usou o próprio LLM hospedado no Langflow para varrer o sistema em busca de credenciais: chaves de API, credenciais de nuvem, wallets de criptomoedas, arquivos de configuração e senhas de bancos de dados. O grupo então despejou o banco Postgres do Langflow, escaneou o espaço de endereços internos alcançáveis, provou por endpoints do MinIO em busca de mais credenciais e instalou uma cron job de persistência no servidor comprometido.
Numa segunda fase, o atacante pivotou para um servidor de produção que hospedava um MySQL e uma instância da plataforma Alibaba Nacos — solução amplamente usada em arquiteturas de microserviços na nuvem chinesa e conhecida por bypasses de segurança recorrentes, incluindo uma chave JWT default que permite forjar tokens.
O aspecto mais relevante do relatório, do ponto de vista técnico, é a evidência de que o LLM não foi apenas um utilitário — ele agiu como orquestrador. Os payloads coletados por analistas continham comentários em linguagem natural narrando cada ação executada, um sinal característico de código gerado por LLMs. Os pesquisadores observaram, ainda, o modelo corrigindo suas próprias falhas, adaptando comandos após erros e diagnosticando problemas em tempo real.
Segundo a Sysdig, houve pelo menos um momento em que o LLM interpretou texto livre exibido pelo alvo (mensagens de erro e contexto ambiente) e tomou decisões que só fariam sentido para quem realmente leu e compreendeu aquele conteúdo — não para um scanner baseado em padrões. Esse comportamento se repetiu em sessões separadas por semanas.
“Defensores devem esperar que o volume e a amplitude dessas campanhas aumentem à medida que o ferramental agentico amadurecer, e devem se preparar para adversários que operam com custo próximo de zero.” — Sysdig.
Este caso é a materialização daquilo que analistas vêm sinalizando há pelo menos um ano: a barreira de entrada para operações de ransomware está descendo do “atacante capacitado” para o “modelo capacitado”. O JadePuffer não precisou de um operador humano acompanhando cada etapa do ataque; precisou de uma instância do Langflow exposta, de um LLM disponível e de um objetivo bem descrito. O resto foi decidido pelo modelo em tempo de execução.
Isso muda a economia da defesa de duas formas. Primeiro, campanhas oportunistas contra infraestrutura negligenciada — Langflow expostos, Nacos com defaults, MinIO sem autenticação — passam a ser triviais de escalar. Segundo, o tempo médio entre acesso inicial e ação sobre objetivos tende a cair drasticamente, porque a orquestração deixa de depender do fuso horário do operador. Para times de segurança, isso significa que a janela entre “temos um alerta” e “temos um incidente” pode passar de horas para minutos.
É também um recado direto para quem gerencia projetos de IA: o Langflow, como qualquer framework LLM, é uma superfície de ataque de primeira classe. Ela merece o mesmo rigor operacional aplicado a servidores de banco de dados ou APIs de pagamento — não o tratamento de “ferramenta interna experimental” que muitas equipes ainda dão a instâncias de dev.
Fonte: SecurityWeek
Após três semanas de bloqueio ao acesso global do modelo, governo americano recua. Katie Moussouris…
Estudo de caso divulgado por Rakesh Krishnan para o Ransom-ISAC reconstrói pagamento rastreado no blockchain…
Renúncia de Keir Starmer e disputa pela liderança do Partido Trabalhista adiam o National Cyber…
Operação coordenada entre Google Threat Intelligence Group, FBI, Lumen e Shadowserver mira uma das maiores…
Ex-membro do comitê PEGA do Parlamento Europeu teve celular repetidamente hackeado pelo Pegasus durante a…
LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…