Los ciberdelincuentes han cambiado gradualmente su enfoque hacia la infraestructura de alto valor que entrena, sintoniza y sirve modelos modernos de inteligencia artificial.
En los últimos seis meses, los equipos de respuesta a incidentes han documentado una nueva familia de malware, denominada tentativamente “ShadowInit”, que se dirige a grupos de GPU, puertas de enlace de servicio de modelos y tuberías de orquestación dentro de las implementaciones de modelos de idiomas grandes (LLM).
A diferencia de las campañas de criptominización anteriores, ShadowInit busca exfiltrar pesos patentados y manipular silenciosamente salidas de inferencia, socavando la confianza en aplicaciones posteriores como sistemas de detección de fraude y pilas de conducción autónoma.
La telemetría inicial muestra que ShadowInit gana la entrada al abusar de los cuadernos de entrenamiento de modelos ampliamente compartidos que dependen de las versiones de paquetes no sin fin. Una vez que una víctima tira del cuaderno, una dependencia envenenada obtiene un gotero de elfo compilado para el tiempo de ejecución CUDA de Nvidia.
Tendencia a los micro analistas anotado La amenaza después de una explosión de tráfico de salida anómalos de un laboratorio de investigación de la costa este que ejecuta grupos A100, eventualmente rastreando los binarios hasta un grupo de actores con superposiciones al equipo de ransomware de Bianlian.
Se sospecha que el mismo grupo ofrece conjuntos de datos de “fuga de modelo” en foros de DarkNet por tan solo $ 5,000 por paquete de 100 MB.
El impacto de Shadowinit es inmediato y residual. Las pérdidas inmediatas incluyen el consumo inesperado de tiempo de GPU (promedio de 6.400 horas de GPU por violación) y el tiempo de inactividad forzado para las verificaciones de integridad.
La amenaza residual es más difícil de cuantificar: los pesos robados permiten a los adversarios elaborar contenido de phishing altamente realista o ajustar modelos rivales a una fracción del costo.
En un incidente de fabricación, un modelo de visión manipulado clasificó mal defectos críticos de seguridad, lo que desencadena un alto ingresos de 47 minutos de línea de ensamblaje que costó aproximadamente $ 1.3 millones en ingresos.
El análisis binario más cercano revela una estructura modular. Un cargador liviano realiza verificaciones de entorno, luego reconstruye dinámicamente la carga útil principal de los fragmentos codificados Base64 almacenados en campos benignos de Jupyter-Metadata.
Desafíos de seguridad y controles recomendados para componentes típicos de un agente de IA impulsado por LLM (Fuente-Trend Micro)
Esto captura una instantánea de memoria donde la carga útil reconstruida se encuentra dentro de los búferes de GPU fijados, escondiéndose efectivamente de los escáneres tradicionales del espacio de usuario. Es importante destacar que el cargador deshabilita los ganchos desinfectantes de cómputo de Nvidia, frustrando los intentos de interceptar núcleos deshonestos.
Debido a que los operadores de campaña entienden que la infraestructura de IA es monitoreada por equipos de DevOps en lugar de especialistas en seguridad, incrustan entradas de registro engañosas.
Por ejemplo, ShadowInit forja los mensajes de audición de kube para imitar eventos de rutina de autoscalaje, empujando alertas genuinas debajo del pliegue de la mayoría de los paneles.
Mecanismo de infección a través de la carga lateral del contenedor
El vector de infección preferido de Shadowinit es una capa de OCI maliciosa que se disfraza de una imagen base legítima de CUDA. Cuando los desarrolladores ejecutan un Docker Pull Cuda aparentemente inofensivo: 12.5-base, el registro devuelve un manifiesto manipulado que cambia los digestores de la capa sobre la mosca.
Procedimiento común de omisión EKYC (Fuente – Trend Micro)
El siguiente fragmento de Go, extraído del poder del registro del atacante, demuestra cómo se produce la sustitución de digestión en el tránsito:-
Func RewriteManifest (w http.ResponseWriter, r *http.request, legit, string malvado) {cuerpo, _: = io.readall (r.body) manifest: = bytes.replaceall (body, () byte (legítimo), () byte (malvado)) W.header (). Set (“Content-Type”, “Aplicación/vnd.oci.image.manifest.v1+json”) w.write (manifest) // envía manifiesto manifiesto}
Tras el inicio del contenedor, la capa inyectada se monta /dev /nvidia0 con privilegios CAP_SYS_RAWIO e implementa un pequeño programa EBPF que intercepta que escribe GPU DMA.
Esto otorga instantáneas persistentes de solo lectura de tráfico de inferencia sin alterar el código del núcleo, satisfaciendo la necesidad de sigilo del atacante.
Pasos para asegurar una pila de IA (Fuente – Trend Micro)
La capa cargada de lateral luego programa un trabajo de estilo cron dentro del espacio de nombres de contenedores que periódicamente tuve tensores robados a través de un túnel AES-GCM a un punto final de los trabajadores de nubes, evadiendo reglas de firewall salientes al imitar la telemetría a los centros de modelos públicos.
La detección sigue siendo desafiante porque las herramientas de monitoreo de integridad de archivos a menudo ignoran las capas de contenedores volátiles, y los ganchos de nivel de GPU rara vez se auditan.
No obstante, los defensores pueden mitigar el riesgo al hacer cumplir la verificación de la firma de imágenes, fijar las versiones de dependencia dentro de los cuadernos y reenviar registros de firmware de GPU a tuberías SIEM para la detección de anomalías.
Los investigadores de Trend Micro recomiendan implementar agentes de certificación de tiempo de ejecución capaces de enegar pesos de modelos en vivo y compararlos con líneas de base bien conocidas cada 15 minutos, una estrategia que habría surgido la manipulación de Shadowinit dentro de la primera hora de ejecución.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
