Ataques exploram falha no framework Ray para mineração de criptomoedas

BR Defense Center (By River de Morais e Silva)
malware

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Fonte: https://thehackernews.com/2025/11/shadowray-20-exploits-unpatched-ray.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
20/11/2025 • Risco: CRITICO
MALWARE

Ataques exploram falha no framework Ray para mineração de criptomoedas

RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2023-48022 no framework Ray representa uma ameaça crítica para empresas que utilizam essa tecnologia. A capacidade dos atacantes de transformar clusters em botnets de mineração e realizar ataques DDoS amplia o escopo do problema, exigindo ações imediatas para proteger a infraestrutura.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido à mineração não autorizada e ataques DDoS.
Operacional
Comprometimento de clusters para mineração de criptomoedas e DDoS.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Serviços em nuvem']

📊 INDICADORES CHAVE

CVE-2023-48022 com pontuação CVSS de 9.8. Indicador
Mais de 230.500 servidores Ray acessíveis publicamente. Contexto BR
Campanha ativa desde setembro de 2024. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a configuração de segurança dos clusters Ray e sua exposição à internet.
2 Implementar regras de firewall para restringir o acesso não autorizado e aplicar autenticação na API do Ray.
3 Monitorar continuamente atividades suspeitas nos clusters e processos em execução.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exposição de clusters Ray à internet, que pode resultar em comprometimentos severos e perdas financeiras significativas.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e segurança de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).