LLM-Abuse

🎯 Contexte Publié le 4 mai 2026 sur InTheCyber Posts par Marco Pedrinazzi, cet article présente la première partie d’une analyse d’un honeypot émulant un serveur Ollama déployé sur un VPS. Le honeypot a été indexé par Censys et Shodan peu après son déploiement, couvrant la période du 2026-03-20 au 2026-04-21 (32 jours). 📊 Statistiques globales 6 461 événements enregistrés sur les endpoints de l’API Ollama 324 adresses IP sources uniques 73 user agents uniques Endpoint le plus ciblé : /v1/chat/completions (2 438 événements), suivi de /api/tags (2 100) python-httpx/0.28.1 représente 62,7 % du trafic total (4 054 événements) 🔍 Patterns d’attaque identifiés 1. Énumération suivie de tests de vivacité Plusieurs IPs ont suivi un flux simple : énumération du serveur via /api/tags, /api/version, puis envoi de prompts courts et peu coûteux (“Hi”, “What is 2+2?”, “Calculate: 17 * 23”) pour vérifier quels modèles fonctionnaient. Ce trafic a également touché la surface OpenAI-compatible (/v1/*). ...

🔍 Contexte Publié le 14 avril 2026 par Vladimir Pezo (ReversingLabs), cet article de recherche documente la campagne PromptMink, une opération de compromission de la chaîne d’approvisionnement logicielle attribuée au groupe nord-coréen Famous Chollima, active depuis septembre 2025 sur npm et PyPI. 🎯 Mécanisme d’attaque La campagne repose sur une architecture à deux couches : Couche 1 (leurre) : Packages npm légitimes en apparence ciblant les développeurs Web3/Solana (ex: @solana-launchpad/sdk, @meme-sdk/trade). Ces packages ne contiennent pas de code malveillant mais importent des dépendances de couche 2. Couche 2 (payload) : Packages malveillants remplaçables rapidement une fois détectés (ex: @validate-sdk/v2, @hash-validator/v2). Ils exfiltrent des secrets depuis l’environnement hôte. Le package principal @validate-sdk/v2 se présente comme un outil de validation de données tout en volant des fichiers .env et .json, des credentials crypto, et des informations système. ...