Четвер, 9 Липня, 2026

ШІ створив вірус JADEPUFFER: шифрує дані без шансу на відновлення

Дослідники з компанії Sysdig зафіксували перший випадок атаки вірусу-вимагача, що повністю керований великою мовною моделлю (LLM), назвавши його JADEPUFFER. Цей інцидент викликає занепокоєння у сфері кібербезпеки, оскільки він демонструє потенціал штучного інтелекту у виконанні складних шкідливих дій. Атака була спрямована на екземпляр Langflow, доступний з інтернету, і вважається, що вона є першою, де шифрування даних не контролювалося безпосередньо людиною-оператором.

За даними аналізу, під час розвитку атаки вірус JADEPUFFER використовував відому вразливість для отримання доступу до серверів. Після цього шкідливе програмне забезпечення видаляло інформацію, самостійно долало виникаючі перешкоди та регулярно надсилало звіти на зовнішній ресурс. Усі ці дії виконувалися без прямого втручання оператора, що підкреслює високий рівень автономності атаки. Фахівці вважають, що JADEPUFFER вказує на ймовірний напрямок розвитку кіберзлочинності, особливо на ринку “кіберзлочинність як послуга”.

Ця атака була повністю автоматизованою та розпочалася зі впровадження коду в систему Langflow. Після успішного використання вразливості, ідентифікованої як CVE-2025-3248, програма JADEPUFFER активно шукала облікові дані. Зокрема, вона збирала інформацію про постачальників великих мовних моделей, доступ до баз даних, облікові записи хмарних платформ та дані криптовалютних гаманців. Додатково було вилучено інформацію з бази даних Postgres екземпляра Langflow, після чого було здійснено серію руйнівних дій.

Після завершення початкових етапів атаки було висунуто вимогу про викуп. Вірус JADEPUFFER зашифрував 1342 елементи конфігурації Nacos та видалив ключові таблиці бази даних. Особливістю цього інциденту є те, що шифрування відбувалося випадковим чином, при цьому не було створено резервних копій даних або згенеровано ключів для їх розшифровки. Це означає, що навіть у випадку сплати викупу постраждалі організації не мали б можливості відновити втрачену інформацію.

Фахівці з кібербезпеки вже деякий час очікували на появу “Агентних загрозливих акторів” (АТА), тому поява JADEPUFFER не стала цілковитою несподіванкою. Цей випадок свідчить про початок нового етапу в розвитку кіберзагроз, де створення та управління операціями з вимаганням коштів або іншими видами кібератак може стати доступним для широкого кола осіб. Це відбувається завдяки використанню інтелектуальних підказок та низьковитратного повністю автоматизованого тестування в реальних умовах, що дозволяє LLM навчатися та вдосконалюватися.

Хоча цей інцидент може віщувати нову еру в кібербезпеці, він також надає цінні дані для розробки методів захисту. Атака JADEPUFFER продемонструвала, як саме можна виявляти шкідливі програми, керовані великими мовними моделями. Дослідники Sysdig помітили, що коли JADEPUFFER стикався з перешкодами на шляху до своєї мети, він адаптувався та надавав пояснення своїх дій. Така “розповідна” поведінка є характерною для LLM, але не для традиційних кіберзагроз, що може слугувати важливою перевагою для виявлення подібних атак та їхніх майбутніх варіантів.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися

Статті