一场名为 "ShadowRay 2.0" 的全球攻击活动正利用一处旧版代码执行漏洞，劫持暴露在公网的 Ray 集群，将其改造为具备自传播能力的加密货币挖矿僵尸网络。

Ray 是由 Anyscale 开发的开源框架，可在以 " 集群 " 或 " 头节点 " 形式组织的分布式计算生态中，助力构建和扩展人工智能（AI）及 Python 应用。

据研究人员介绍，他们追踪的威胁者 "IronErn440" 正使用 AI 生成的载荷，攻击公网可访问的易受攻击 Ray 基础设施。研究人员指出，此类恶意活动不仅限于加密货币挖矿，部分情况下还涉及数据与凭证窃取，以及发起分布式拒绝服务（DDoS）攻击。

新攻击活动，旧（未修复）漏洞

"ShadowRay 2.0" 是此前另一轮 "ShadowRay" 攻击活动的延续——该活动由 Oligo 曝光，活跃于 2023 年 9 月至 2024 年 3 月期间。

Oligo 研究人员发现，两轮攻击均利用了编号为 CVE-2023-48022 的旧版高危漏洞。这一安全问题尚未推出修复补丁，原因是 Ray 的设计初衷是运行在 " 严格受控的网络环境 " 这类可信环境中。

但研究人员表示，目前公网可访问的 Ray 服务器已超 23 万台，较 " 首次发现 ShadowRay 活动时观测到的数千台 " 出现大幅激增。

Oligo 在今日发布的报告中提到，已监测到两轮攻击浪潮：一轮通过滥用 GitLab 分发载荷，于 11 月 5 日终止；另一轮则滥用 GitHub，自 11 月 17 日起持续至今。

恶意的 GitHub 仓库

载荷功能解析

Oligo 指出，攻击中使用的载荷由大语言模型生成。这一结论基于对代码结构、现有注释及错误处理模式的分析得出。

例如，研究人员在对某一载荷进行反混淆后发现，其包含 " 文档字符串和无意义回显语句，这强烈表明代码由 LLM 生成 "。

有效负载的一部分

攻击者利用 CVE-2023-48022 漏洞，向 Ray 未授权的 Jobs API 提交任务，运行多阶段 Bash 与 Python 载荷，并借助平台的编排能力在所有节点部署恶意软件，实现集群间的自主传播。

其中的加密货币挖矿模块似乎同样由 AI 生成，会检测可用的 CPU、GPU 资源及访问权限类型。研究人员在载荷代码中发现，攻击者偏好 " 至少 8 核且具备 root 权限 " 的系统，并将此类系统称为 "a very good boy"（意为 " 非常理想的目标 "）。

该模块使用 XMRig 软件挖掘门罗币（Monero），且仅占用 60% 的处理能力，以规避即时检测。

Oligo 发现，挖矿程序被植入具有迷惑性的文件路径，并使用 "dns-filter" 等伪造进程名掩盖活动痕迹；同时通过定时任务和修改 systemd 配置实现持久化驻留。

另一处有趣的发现是：攻击者会确保自己是唯一利用被劫持 Ray 集群挖矿的主体——他们会终止其他竞争对手的挖矿脚本，并通过修改 /etc/hosts 文件和 iptables 规则屏蔽其他矿池。

矿工配置

除加密货币挖矿外，该恶意软件还会向攻击者基础设施开启多个 Python 反向 shell，以实现交互式控制，进而获取并窃取工作负载环境数据、MySQL 数据库凭证、专有 AI 模型及集群中存储的源代码。

此外，它还可利用 Sockstress 工具发起 DDoS 攻击——该工具通过原始套接字建立大量 TCP 连接，利用 " 非对称资源消耗 " 的原理瘫痪目标。

从攻击者创建的定时任务来看，Oligo 发现有一个脚本每 15 分钟执行一次，用于检查 GitHub 仓库中是否存在更新后的载荷。

设置持久化机制

"ShadowRay 2.0" 防御建议

由于 CVE-2023-48022 漏洞目前尚无修复补丁，建议 Ray 用户在部署集群时遵循厂商推荐的 " 最佳实践 "。

在首次 "ShadowRay" 攻击活动被曝光后，Anyscale 已就该问题发布更新说明，列出多项建议，其中包括 " 将 Ray 部署在安全可信的环境中 "。同时，应通过防火墙规则和安全组策略保护集群，防止未授权访问。

安全研究人员还建议在 Ray 控制台端口（默认 8265）基础上增加授权验证，并对 AI 集群实施持续监控，以识别异常活动。