文章总结： 安全团队发现新型NATS-as-C2攻击活动，攻击者利用Langflow漏洞植入恶意脚本，通过NATS消息中间件构建具备ACL权限控制的僵尸网络，专门窃取云服务凭证和AIAPI密钥。攻击采用TLS指纹伪装、容器逃逸等技术实现高度规避，建议企业检测内网与外部消息中间件的异常连接并加强开发环境密钥管理。 综合评分： 87 文章分类： 威胁情报,漏洞分析,云安全,AI安全,网络安全

NATS-as-C2：新型云凭证与AI密钥窃取活动

原创

网空闲话 网空闲话

网空闲话plus

2026年5月19日 07:05 北京

在小说阅读器读本章

去阅读

一场精准且高度隐蔽的攻击行动，正将一项关键的云原生技术转化为犯罪利器。安全厂商Sysdig威胁研究团队（TRT）于2026年5月5日发现，一个被其命名为 “KeyHunter” 的恶意项目，创造性地利用开源消息平台 NATS 作为其命令与控制（C2）基础设施。这种被命名为 “NATS-as-C2” 的全新技术，利用合法中间件的原生优势构建了强韧的僵尸网络，以窃取云服务凭证和人工智能API密钥。

攻击入口：对Langflow的快速利用

攻击活动始于对Langflow平台漏洞CVE-2026-33017（一个未经身份验证的远程代码执行漏洞）的利用。该漏洞在2026年3月25日已被列入CISA已知利用漏洞目录。来自IP地址159.89.205.184 (归属DigitalOcean) 的攻击者，在对LMDeploy、LiteLLM等平台进行长时间探测后，于一次会话中攻破了Langflow实例。攻击者上传了名为 keyhunter_worker.py的Python脚本和一个Go语言二进制文件``worker-linux-amd64，并尝试利用DirtyPipe、DirtyCreds等漏洞进行容器逃逸。

C2核心突破：将NATS服务器武器化

此次行动的核心创新在于C2架构。攻击者在其控制的45.192.109.25:14222服务器上运行了一个NATS实例，而非传统的HTTP C2。所有受控节点均作为NATS客户端接入该服务器。其精妙之处在于，攻击者启用了NATS的身份验证与访问控制列表（ACL）。

Sysdig TRT捕获的日志显示，工作节点在尝试向未授权主题发布消息时，收到了NATS服务器的明确权限违规错误。通过攻击者自带的权限测试脚本确认，工作节点角色仅被授权向 heartbeat.worker、result.scan、keyhunter.result等有限主题发布结果和心跳。工作节点完全无法订阅其他节点或操作员下发的指令主题。 这相当于在僵尸网络中严格实施了最小权限原则，使得防御者即使完整捕获一个工作节点，也无法污染或窥探整个网络的指令流，极大增加了分析与反制难度。Sysdig TRT将此视为一项显著的技术演进，相较于今年4月利用Flask和Socket.IO进行凭证填充的攻击，NATS提供了更系统化、更具弹性的管理手段。

双重变现：并行收割云与AI资源

KeyHunter的攻击目标明确，即实现云凭证与AI密钥的双重货币化。其工作节点声明了如下任务能力：

• scan_cde：专项扫描CodePen、JSFiddle、StackBlitz、CodeSandbox 四个在线开发者沙箱平台。其内置了多种提取策略（例如对CodePen就有四种提取方法），以应对平台界面变化。
• validate_aws：调用sts:GetCallerIdentity验证AWS密钥，并立即枚举该密钥关联的 Bedrock、S3、EC2、Lambda、ECS、SageMaker 等数十项服务的访问权限。攻击者尤其关注Bedrock:InvokeModel调用，以实现“LLMjacking”（语言模型劫持），免费使用Claude等昂贵AI模型。
• validate_ai：直接调用服务商API，验证窃取到的OpenAI、Anthropic等AI服务密钥的有效性。攻击日志表明，在部署稳定的工作节点前，操作者花费了近十个小时手动完成上述凭证收集、验证与云服务侦察的全流程。

高度工程化的规避与执行

恶意组件体现了高超的工程化水平。Go二进制文件集成了uTLS 库，可精确模仿 Chrome、Firefox、Safari等浏览器的TLS指纹，以绕过Cloudflare等反爬虫系统的检测。它还能调用无头浏览器渲染动态页面，并集成GitLeaks v8.24.3进行更全面的凭证扫描。攻击者的Windows项目路径（AyuGram Desktop/KeyHunter-Distributed/worker/...）甚至被泄露在二进制文件的调试符号中。

其持久化机制同样专业但粗暴：deploy.sh脚本会安装依赖，将文件部署至 /opt/keyhunter-worker/，并注册一个Restart=always 的systemd服务 keyhunter-worker.service，确保工作节点长期在线。然而，其操作安全几乎为零，未做任何日志清理或痕迹隐藏。Sysdig TRT判断，这符合作战者使用低成本、一次性VPS的策略——快速扩展节点比费力强化单个节点的隐蔽性更划算。

结论：基础设施即威胁，防御需前置

此次事件揭示了威胁行为者正将成熟的云原生基础设施武器化。NATS提供的原生认证、弹性队列和精细授权，使攻击者无需构建复杂后端即可管理高度弹性的分布式僵尸网络。这要求防御方必须重新审视网络策略，因为恶意流量已深深隐藏在合法的云服务通信协议之中。

【闲话简评】

攻击者利用NATS服务器内置的ACL机制来保护其僵尸网络免受反制，这一手法极具启发性。它表明威胁情报的焦点已不能再局限于寻找“异常流量”，更要识别“流向异常基础设施的合法协议流量”。针对性地检测内网主机与外部未知或非授权NATS、Kafka等消息中间件建立的持久连接，可能成为发现此类高级威胁的关键。同时，本次攻击中暴露的开发者将有效密钥遗留在公共在线沙箱的行为，再次为全行业敲响警钟，密钥管控的生命周期必须覆盖开发测试的每一个临时环境，任何疏忽都可能成为攻击者直接变现的渠道。

参考文献

[1] SecurityLab. (2026, May 18). OpenAI、Anthropic 和 AWS 的密钥都存储在公共沙箱中。黑客创建了 KeyHunter 平台，该平台可以自动查找被遗忘的开发者令牌 [News article]. Retrieved from https://www.securitylab.ru/news/572752.php

[2] Clark, M. (2026, May 14). NATS 作为 C2：攻击者利用一种新技术窃取云凭证和 AI API 密钥 [Blog post]. Sysdig. Retrieved from https://www.sysdig.com/blog/nats-as-c2-inside-a-new-technique-attackers-are-using-to-harvest-cloud-credentials-and-ai-api-keys

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《NATS-as-C2：新型云凭证与AI密钥窃取活动》