Una nuova campagna di attacchi informatici sta prendendo di mira i database di progetti legati a criptovalute e blockchain, sfruttando una vulnerabilità inaspettata: le configurazioni dei server generate da intelligenza artificiale. Il botnet GoBruteforcer, noto anche come GoBrut, sta capitalizzando la diffusione di credenziali predefinite deboli suggerite da modelli linguistici di grandi dimensioni, dimostrando come l'automazione mediante AI possa paradossalmente aprire nuove falle nella sicurezza informatica. I ricercatori di Check Point stimano che oltre 50.000 server esposti pubblicamente potrebbero essere vulnerabili a questa minaccia, con implicazioni significative per l'intero ecosistema delle criptovalute.
GoBruteforcer è un botnet sviluppato in Golang che prende di mira servizi esposti come FTP, MySQL, PostgreSQL e phpMyAdmin. La sua architettura è progettata per sfruttare server Linux compromessi come piattaforma di lancio per scansionare indirizzi IP pubblici casuali ed eseguire attacchi di forza bruta sui sistemi di autenticazione. La peculiarità dell'attuale campagna risiede nel vettore di attacco iniziale: configurazioni di sistema copiate da esempi generati da LLM che includono credenziali predefinite facilmente indovinabili.
L'analisi tecnica rivela che il malware implementa un sistema di worker paralleli particolarmente efficiente. Su architetture x86_64, il botnet può lanciare fino a 95 thread di attacco simultanei, ciascuno dei quali genera autonomamente un indirizzo IPv4 pubblico casuale, verifica la disponibilità della porta del servizio target e tenta tutte le credenziali presenti nella lista incorporata. Il software è progettato per evitare determinati range di indirizzi, escludendo deliberatamente reti private, infrastrutture cloud AWS e network governativi statunitensi, una scelta strategica per ridurre il rischio di rilevamento.
Il punto di ingresso più comune sfruttato dagli attaccanti è rappresentato dai server che eseguono XAMPP, uno stack di sviluppo web molto diffuso. Il modulo FTP di GoBruteforcer incorpora una lista hardcoded di 22 coppie username-password, corrispondenti alle credenziali predefinite o comunemente utilizzate negli ambienti di web hosting basati su XAMPP. Una volta ottenuto l'accesso tramite account standard come "daemon" o "nobody" con password deboli, gli attaccanti caricano una web shell nella directory webroot, stabilendo una testa di ponte nel sistema compromesso.
La catena di infezione prosegue con il download di un bot IRC e del modulo bruteforcer vero e proprio, che inizia la sua attività dopo un ritardo variabile tra 10 e 400 secondi. Questa temporizzazione randomizzata serve probabilmente a eludere i sistemi di rilevamento basati su pattern temporali. Gli attaccanti possono anche sfruttare altri vettori di compromissione iniziale, come server MySQL configurati in modo errato o pannelli phpMyAdmin esposti pubblicamente senza adeguate protezioni.
La correlazione con configurazioni generate da AI emerge da un'analisi approfondita delle credenziali target. Check Point ha identificato una tendenza preoccupante: username come "appuser", "myuser" e "operator" compaiono frequentemente negli esempi di configurazione Docker e DevOps prodotti da LLM. Questi identificatori, generati automaticamente dall'intelligenza artificiale come esempi dimostrativi, vengono poi copiati acriticamente dagli sviluppatori in sistemi di produzione reali, creando involontariamente una superficie di attacco standardizzata e prevedibile.
Un caso particolarmente significativo documentato dai ricercatori riguarda un host compromesso infettato con strumenti di scansione di wallet TRON. Gli attaccanti hanno distribuito utility automatizzate per eseguire sweep attraverso la blockchain TRON e Binance Smart Chain, utilizzando un file contenente circa 23.000 indirizzi TRON. L'obiettivo era identificare wallet con saldi non nulli e procedere al loro svuotamento, dimostrando come questi attacchi infrastrutturali possano tradursi direttamente in furti di criptovalute.
Il problema è amplificato dall'uso continuativo di stack software obsoleti. XAMPP, pur essendo uno strumento utile per ambienti di sviluppo, continua a essere distribuito con credenziali predefinite e servizi FTP aperti per impostazione predefinita. Quando questi sistemi vengono erroneamente deployati in ambienti di produzione senza un'adeguata configurazione di sicurezza, diventano bersagli ideali per botnet come GoBruteforcer.
Le contromisure raccomandate includono l'abbandono delle guide di deployment generate da AI senza una verifica critica della loro configurazione di sicurezza. Gli amministratori dovrebbero implementare username non predefiniti accompagnati da password complesse e uniche, specifiche per ciascun ambiente. È inoltre essenziale verificare l'esposizione pubblica di servizi come FTP, phpMyAdmin, MySQL e PostgreSQL, limitandone l'accesso esclusivamente alle reti autorizzate mediante firewall o VPN.
Per ambienti di produzione, la sostituzione di stack obsoleti come XAMPP con alternative più moderne e sicure rappresenta una priorità. Soluzioni containerizzate come Docker con immagini ufficiali e mantenute, o stack gestiti offerti da provider cloud, forniscono configurazioni di sicurezza più robuste per impostazione predefinita. Il caso GoBruteforcer evidenzia un paradosso dell'era dell'AI: mentre l'intelligenza artificiale accelera lo sviluppo, può anche propagare rapidamente pratiche di sicurezza inadeguate su scala globale, richiedendo una maggiore consapevolezza critica da parte degli sviluppatori nell'adozione di configurazioni automatizzate.
