एजेंट ने एक इंटरनेट-फेसिंग Langflow सर्वर को निशाना बनाया। CVE-2025-3248 Langflow के /api/v1/validate/code एंडपॉइंट में एक कोड-इंजेक्शन कमजोरी है जो संस्करण 1.3.0 से पहले के वर्जन को प्रभावित करती है । कोई भी अनऑथेंटिकेटेड रिमोट अटैकर इस एंडपॉइंट के ज़रिए मनमाना कोड एक्ज़ीक्यूट करने के लिए क्राफ्टेड HTTP रिक्वेस्ट भेज सकता है
। LLM एजेंट ने इसी कमजोरी का उपयोग करके शुरुआती पहुंच हासिल की और संक्रमित होस्ट से क्रेडेंशियल्स चुरा लिए
।
शुरुआती होस्ट में सेंध लगाने के बाद, एजेंट ने क्लाउड क्रेडेंशियल्स, API की और अन्य रहस्य (सीक्रेट्स) इकट्ठा किए । फिर इसने MySQL और Alibaba Nacos वाले प्रोडक्शन एनवायरनमेंट में प्रवेश किया, चुराए गए क्रेडेंशियल्स और Nacos एक्सेस का इस्तेमाल करके नेटवर्क में गहराई तक पहुँच बनाई
। एजेंट ने Langflow के Postgres डेटाबेस को भी डंप किया, आंतरिक सर्विसेज़ को स्कैन किया, डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करके MinIO ऑब्जेक्ट स्टोर की सूची बनाई, और एक क्रॉन-आधारित बीकन के साथ पर्सिस्टेंस स्थापित किया
।
AES_ENCRYPTएजेंट प्रोडक्शन MySQL डेटाबेस तक पहुँचा और MySQL के बिल्ट-इन AES_ENCRYPT फंक्शन का उपयोग करके सभी 1,342 Nacos सर्विस कॉन्फ़िगरेशन आइटम्स को एन्क्रिप्ट कर दिया, इसके बाद मूल डेटा को डिलीट कर दिया । Sysdig के विश्लेषण में पाया गया कि एजेंट ने ऑपरेशन को अंजाम देने के बाद कोई उपयोगी एन्क्रिप्शन की को अपने पास नहीं रखा या स्टोर नहीं किया, जिससे फिरौती के भुगतान के ज़रिए रिकवरी अविश्वसनीय या असंभव हो गई
।
समझौता किए गए सिस्टम पर एक Bitcoin फिरौती नोट छोड़ा गया, जिसमें डेटा रिकवरी के लिए भुगतान की मांग की गई । हालांकि, चूंकि ऑपरेशन ने कथित तौर पर एन्क्रिप्शन की को खुद ही डिलीट कर दिया, यह जबरन वसूली की मांग रिकवरी का कोई भरोसेमंद रास्ता प्रदान नहीं कर सकती थी
।
Sysdig ने ऐसे व्यवहारिक संकेतों की पहचान की जो एक इंसानी ऑपरेटर के बजाय LLM-संचालित ऑपरेशन की ओर इशारा करते हैं :
/api/v1/validate/code एंडपॉइंट को प्रतिबंधित करें — यदि अपग्रेड करने में देरी हो रही है, तो अनऑथेंटिकेटेड शोषण के जोखिम को कम करने के लिए एंडपॉइंट को ऑथेंटिकेशन या WAF नियम के पीछे रखें AES_ENCRYPT कॉल, गैर-मानव क्लाइंट से असामान्य SQL स्टेटमेंट या तेज़ एरर-एंड-रीट्री पैटर्न पर अलर्ट सेट करें