2026 JADEPUFFER
AGENTIC_
RANSOM_
FIRST_CASE.
TL;DR: 2026년 7월 1일 클라우드 보안 기업 Sysdig 위협 연구팀(TRT)이 원본 기술 보고서를 공개하며 코드명 JADEPUFFER 공격 캠페인을 최초로 밝혔습니다. 이는 현재 확인된 최초의 종단간·대규모 언어 모델(LLM) 완전 구동 랜섬 오퍼레이션입니다. 공격자는 인터넷에 노출된 Langflow 인스턴스에서 CVE-2025-3248(CVSS 9.8)을 악용해 진입점을 확보한 뒤, MySQL과 Alibaba Nacos를 운영하는 프로덕션 서버로 측면 이동했습니다. 압축된 시간 창 안에서 600개 이상의 독립 payload를 실행해 정찰, 자격 증명 탈취, 지속성, 설정 암호화, 데이터베이스 파괴까지 완료했습니다. Sysdig는 이를 신분류 Agentic Threat Actor(ATA, 에이전트형 위협 행위자)로 정의했습니다. 본문은 원본 보고서를 바탕으로 전체 공격 체인, 자율성 4대 증거선, 비트코인 주소 미스터리, IOC 목록, 공식 방어 권고, 업계 반응, Mac 노드 격리 선정을 분석합니다.
1. 핵심 문제: AI Agent 인프라가 새로운 공격면이 되고 있습니다
Mac이나 클라우드 호스트에서 Langflow, OpenClaw, ComfyUI Agent 워크플로를 실행 중이라면, 아래 세 가지 현실적 위험은 JADEPUFFER와 직접 연관됩니다.
- 인터넷 노출 + 미패치 = 9.8점 RCE 진입점: Langflow는 GitHub 스타 7만+ 프레임워크이나, 빠른 검증을 위해 오케스트레이션 서비스를 그대로 공개하는 팀이 많습니다. CVE-2025-3248은 2025년 4월 공개, 5월 5일 CISA KEV(알려진 악용 취약점) 등재, EPSS 악용 확률 91.42%에 달합니다.
- 환경 변수에 API Key와 클라우드 자격 증명이 평문으로 존재: AI Agent 서버에는 OpenAI, Anthropic, DeepSeek, Gemini 및 Alibaba Cloud/Tencent Cloud/AWS 자격 증명이 자주 저장되며, 이것이 JADEPUFFER 1단계 병렬 스캔 대상이었습니다.
- 구형 취약점 + AI 자동화 = 한계 비용이 거의 0: 하류 타깃은 2021년 Nacos 인증 우회와 변경되지 않은 기본 JWT 키를 악용합니다. Agent로 「과거 취약점 전수 공격」 비용이 거의 0이 되며, 침입마다 행동이 약간씩 달라질 수 있습니다.
2. 사건 개요와 핵심 정성
| 관점 | 상세 |
|---|---|
| 발견 기관 | Sysdig 위협 연구팀(TRT), 보고 저자 Michael Clark(Director of Threat Research) |
| 공개일 | 2026년 7월 1일(미디어 7월 2–6일 후속, 대중 인식의 기준점은 7월 6일이 많음) |
| 공격자 코드명 | JADEPUFFER(Sysdig 공식 전대문 명명) |
| 핵심 정성 | 확인된 최초의 「종단간·LLM 완전 구동」랜섬 오퍼레이션——정찰, 자격 증명 탈취, 측면 이동, 권한 유지부터 파괴적 암호화까지 인간의 핵심 개입 없음 |
| 신분류 | Agentic Threat Actor(ATA)——공격 역량이 AI Agent에 의해 제공되며, 수동 도구 조작이 아님 |
| 2단계 타깃 | 진입: 공개 Langflow(CVE-2025-3248); 실제 표적: 공개 MySQL + Nacos 프로덕션 서버 |
| 규모 | 수 주에 걸친 다중 세션에서 600개 이상의 독립·목적 명확 payload 실행 |
3. 타임라인
| 시기 | 사건 |
|---|---|
| 2025년 4월 | Langflow CVE-2025-3248(무인증 코드 주입/RCE) 공개 |
| 2025년 5월 5일 | CISA KEV 카탈로그 등재 |
| 2025년 | 동일 취약점이 Flodrix 봇넷 배포에 악용(Trend Micro 독립 보고, JADEPUFFER와 무관하나 진입점 공유) |
| 2026년 6월 | JADEPUFFER가 공개 Langflow 공격, 체인은 수 주·다중 세션으로 완료 |
| 2026년 7월 1일 | Sysdig 완전 기술 보고서 공개 |
| 2026년 7월 2–6일 | Dark Reading, BleepingComputer, CyberScoop, CSO Online, Security Affairs 후속 |
4. CVE-2025-3248 완전 기술 분석
4.1 기본 정보
| 항목 | 상세 |
|---|---|
| 컴포넌트 | Langflow — 오픈소스 시각화 AI Agent 워크플로 프레임워크, GitHub 7만+ star |
| 취약점 유형 | CWE-94(코드 주입) + CWE-306(중요 기능 인증 누락) |
| CVSS | 9.8 Critical — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 영향 버전 | Langflow 1.3.0 미만 전 버전 |
| 취약 위치 | /api/v1/validate/code 엔드포인트 |
| 수정 버전 | 1.3.0(인증 검사 추가) |
| EPSS | 91.42%(SentinelOne) |
4.2 취약점 원인(5단계)
- Langflow는 시각 오케스트레이션에서 커스텀 함수 노드 구문을 사전 검증하는 API를 제공합니다.
- 구현은
ast.parse()→compile()→exec()실행입니다. - 치명적 결함: 인증이 없고 샌드박스 격리도 없습니다.
- Python 데코레이터와 함수 기본 인자는 「정의 시」 평가됩니다——공격자는 악성 코드를 기본 인자나 데코레이터에 삽입해 검증 시점에 RCE를 성립시킵니다.
- 공격자는 로그인 없이 정교한 HTTP POST 하나로 임의 코드 실행이 가능합니다.
4.3 Flodrix 봇넷 비교 페이로드(Trend Micro 포렌식, 독립 캠페인)
이 명령은 권한 확인 → 환경 변수 내보내기(API Key 유출 가능) → root bash 기록 읽기 → 네트워크 정찰 → SSH 확인 → 프로세스 capability 확인 순입니다. 최종적으로 700바이트 Bash 스크립트를 다운로드해 Flodrix ELF 바이너리로 DDoS 봇넷을 구축합니다. 중요 구분: Flodrix와 JADEPUFFER는 독립 캠페인이며 CVE-2025-3248 진입점만 공유합니다.
4.4 공식 패치(Langflow 1.3.0)
post_validate_code에 _current_user: CurrentActiveUser 의존성 주입 추가: JWT Bearer Token 또는 x-api-key 검증, 실패 시 401/403 반환, 요청은 취약 로직에 도달하지 않습니다.
5. 완전 공격 체인 복원(Sysdig 원기록)
5.1 왜 Langflow가 표적이 되었나
AI Agent 서버 환경 변수에는 대규모 모델 API Key와 클라우드 자격 증명이 자주 저장되며, 급한 프로덕션 투입으로 네트워크 접근 제어가 부족해 인터넷에 직접 노출되는 사례가 많습니다.
5.2 Phase 1: Langflow 호스트 장악
모든 payload는 Base64 인코딩 Python으로 RCE 엔드포인트를 통해 투입되었습니다.
① 정찰 및 자격 증명 수집(멀티스레드 병렬): id, uname -a, hostname 실행, OpenAI/Anthropic/DeepSeek/Gemini API Key, Alibaba/Tencent/Huawei/AWS/GCP/Azure 자격 증명, 암호화폐 지갑·니모닉, DB 자격 증명 병렬 스캔.
② 로컬 데이터 탈취: Langflow PostgreSQL 백엔드 DB에서 자격 증명·API Key 내보내기, 로컬 검토 후 삭제(흔적 제거).
③ 내부 측면 이동 발견: 내부 주소 공간 스캔, 기본 자격 증명으로 DB·객체 스토리지·시크릿 저장소 탐색.
④ MinIO 열거(중요 포렌식): minio.internal:9000과 127.0.0.1:9000 탐색, 기본 minioadmin:minioadmin으로 Bucket 완전 열거, terraform-state 버킷과 credentials.json 우선 추출. 적응적 세부: 처음 ?format=json에 XML이 반환되면 다음 payload는 즉시 XML 파서로 전환——전형적인 「탐색→오류→적응」 루프입니다.
⑤ 지속성: crontab에 30분마다 비콘 외발 설정.
5.3 Phase 2: MySQL + Nacos 프로덕션 서버 돌파
① Nacos 다중 벡터 동시 공격: CVE-2021-29441 인증 우회, 공개 기본 JWT 서명 키로 Token 위조, root DB 권한으로 백엔드 백도어 관리자 주입.
백도어 계정 주입 31초 수정 루프(Sysdig 초 단위 기록):
| 시각(UTC) | 동작 |
|---|---|
| 19:34:24 | bcrypt 해시 생성, xadmin 관리자 INSERT |
| 19:34:36 | xadmin:Xploit@2026# 로그인 실패 |
| 19:34:48 | nacos:nacos 기본 자격 증명 병렬 테스트 + admin123 해시 재생성 |
| 19:35:07 | import bcrypt로 직접 생성, 손상 레코드 삭제·재구축 |
| 19:35:18 | 로그인 성공——총 31초 |
② 컨테이너 탈출 탐색(약 8분): MySQL INTO OUTFILE / LOAD_FILE로 쓰기·읽기·Docker socket·cgroup·UDF 로드 가능성 테스트, 완료 후 cleanup marker 기록——고정 스크립트보다 Agent가 작업 완료 후 다음 단계로 진행하는 신호로 해석됩니다.
③ 파괴적 암호화 및 랜섬: 전체 1,342개 Nacos 설정을 AES_ENCRYPT()로 암호화, config_info와 his_config_info 삭제, 랜섬 테이블 README_RANSOM 생성. 암호 키는 uuid4()로 랜덤 생성·stdout에만 출력·저장 없음——지불해도 복호 불가. 랜섬 노트는 AES-256이라 하나 MySQL 기본은 AES-128-ECB입니다.
④ 대규모 파괴: ROI 우선순위로 DROP DATABASE 실행, 코드 주석은 「64.20.53[.]230에 백업 완료」자칭(Sysdig 독립 증거 없음). 외래 키 제약으로 삭제 실패 시 다음 payload가 SET GLOBAL FOREIGN_KEY_CHECKS=0 자동 추가——실패 원인을 이해한 수정입니다.
6. 「자율성」 4대 증거선
- 자기 서술적 코드: payload 내 각 단계 「왜」를 설명하는 자연어 주석이 다수, ROI 순서·DB 크기 판단 포함——LLM 코드 생성 기본 행동이며 연구자 사후 추론이 아닙니다.
- 기계 속도의 장애 진단·수정: Nacos 백도어 31초 수정, MinIO XML/JSON 적응, JWT 경로 즉시 전환——증거는 「틀린 뒤 얼마나 빠르게, 어떤 방식으로 수정했는가」에 있습니다.
- 자연어 컨텍스트 이해: 표적 환경 자유 텍스트를 파싱해 「읽지 않으면 실행 불가」 동작을 취하며, 수 주 간격의 다른 세션에서도 반복됩니다.
- 비트코인 주소 미스터리(다음 절)——두 해석 모두 배제 불가, AI 자율성이 추적에 새 불확실성을 가져옵니다.
7. 비트코인 주소 미스터리
랜섬 노트 비트코인 주소 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy는 Bitcoin Core 문서에 반복 등장하는 표준 P2SH 샘플 주소이며 LLM 학습 코퍼스에도 대량 존재합니다. 온체인: 역사적 737건 거래, 누적 약 46 BTC, 현재 잔액 0(입금 즉시 이체). Sysdig 두 해석: (a) LLM 「환각」 생성, 지갑은 오송금 회수 제3자 소유; (b) 공격자 설정 실제 지갑이 우연히 샘플과 일치. 연구팀은 system prompt 확인 불가, 두 가능성 모두 현재 배제 불가.
8. IOC(침해 지표) 요약
| 유형 | 지표 |
|---|---|
| C2 / 비콘 | 45.131.66[.]106; crontab: hxxp://45.131.66[.]106:4444/beacon |
| 데이터 임시 저장/유출 | 64.20.53[.]230(InterServer, AS19318) |
| 진입 취약점 | CVE-2025-3248 |
| 랜섬 비트코인 | 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy |
| 연락 이메일 | e78393397[@]proton[.]me(위협 인텔 DB 제로 히트, 알려진 MySQL 랜섬 그룹과 형식 불일치) |
| 랜섬 테이블명 | README_RANSOM(WARNING / RECOVER_YOUR_DATA 등 관례명과 불일치) |
| 지속성 | crontab 30분마다 C2 4444 포트 비콘 외발 |
랜섬 이메일·테이블명에 선례가 없어 「알려진 랜섬 그룹 관례」가 아닌 「완전 신규 Agent 구동 오퍼레이션」을 뒷받침합니다.
9. 공식 방어 권고(Sysdig 원문 정리)
- Langflow를 CVE-2025-3248 수정판으로 업그레이드하고, 코드 실행/검증류 엔드포인트를 인터넷에 노출하지 말 것.
- 런타임 위협 탐지로 DB 프로세스 내 악성 행동 식별.
- AI 오케스트레이션 서버 환경 변수에 대규모 모델 API Key·클라우드 자격 증명 저장 금지——전용 시크릿 관리로 분리.
- Nacos 강화: 기본
token.secret.key변경, 커스텀 키 강제 버전 업그레이드, Nacos를 절대 공개하지 말 것, root 백엔드 DB 연결 금지. - DB 관리자 계정 공개 금지, 관리 포트는 강력·고유 자격 증명과 출발 IP 제한 강제.
- 아웃바운드 제어(egress control)로 침해된 호스트의 임의 비콘 외발 차단.
- 위 IOC 모니터링, cron 외부 요청·괄호 User-Agent 이상 주의.
10. 업계·전문가 반응
BleepingComputer / Dark Reading / CyberScoop / Security Affairs 모두 「최초 AI 완전 구동 랜섬」으로 평가하며 ATA 시대 도래를 강조했습니다. CSO Online은 레드팀 전문가 Vibhum Dubey 코멘트: 신기술보다 「실행 방식의 진화」——진짜 우려는 암호화 전 「조용한 기간」에 Agent가 ID 체계·신뢰 체인을 파악하고, 차단 시 즉시 전술 전환, 침입마다 행동이 약간씩 다를 수 있음. 다수 미디어는 LLMjacking 언급: 탈취 자격 증명으로 Agent를 구동하면 복잡 다단계 공격 한계 비용이 거의 0.
11. Sysdig 결론과 의미(4점)
- 랜섬은 고숙련자 장인 기술이 아님: LLM Agent가 정찰부터 파괴까지 연쇄, 깊은 전문 지식 불필요.
- 구형 취약점 자동 무기화: 2021 Nacos + 기본 JWT 키, Agent로 「역사 취약점 전수」 비용이 0에 근접.
- 의도가 「읽힘」——방어측 기회: LLM이 payload 내 목표를 서술, 기존에 없던 탐지 훅 제공.
- 「백업 완료」는 공격자 자칭뿐: 암호 키 일시 생성·복구 불가, 지불해도 데이터 복구 불가.
보고서 맺음말 요지: JADEPUFFER는 경고 신호입니다——개별 기술은 새롭지도 복잡하지도 않습니다. 진짜 주목할 점은 AI 모델이 기술을 완전 랜섬 오퍼레이션으로 연쇄하고, 간과된 공개 인프라를 표적으로 삼았다는 것입니다. 랜섬웨어 실행 기술 장벽은 「Agent 하나 실행 비용」까지 낮아졌습니다. Agent 자체가 탈취 자격 증명으로 구동되면(LLMjacking) 공격자 한계 비용은 거의 0입니다. 방어측은 이런 공격의 수와 대상 범위 지속 증가를 예상해야 합니다.
12. AI 오케스트레이션 인프라 의사결정 매트릭스
| 배포 방식 | 노출 위험 | 자격 증명 분리 | 적합 시나리오 | JADEPUFFER 연관 위험 |
|---|---|---|---|---|
| 로컬 Mac Langflow 공개 매핑 | 매우 높음 | 열악(.env 평문) | 로컬 demo만 | 진입기 전형 표적 |
| 클라우드 VPS 공개 + 미패치 Langflow | 매우 높음 | 열악 | 비권장 | 이번 사건 진입과 일치 |
| 내부망 Langflow + 시크릿 관리 | 중 | 양호 | 소규모 프로덕션 | egress 제어 필요 |
| 격리 원격 Mac 노드 + SSH 터널 | 낮음 | 양호 | Agent 개발/테스트 | 진입 비공개, 스냅샷 롤백 가능 |
13. 5단계 방어 및 격리 Runbook
- 즉시 패치: Langflow ≥1.3.0; 공개면
/api/v1/validate/code도달 가능 인스턴스 스캔(Shodan/Censys). - 공개 노출 중단: Langflow, Nacos, MySQL 관리 포트는 내부망 또는 VPN/Tailscale만; 코드 검증 엔드포인트 절대 공개 금지.
- 자격 증명 환경 변수 제거: API Key를 Vault/1Password Connect/클라우드 Secrets Manager로; 오케스트레이션 서버는 단기 token만 마운트.
- Nacos 강화: 기본 JWT 키 변경, root DB 연결 금지, 인증 활성화; CVE-2021-29441 계열 대조.
- 런타임 탐지 + IOC 모니터링: Falco/Sysdig류 배포; cron 외발, MySQL
INTO OUTFILE이상,README_RANSOM테이블 생성 알림; 위 IOC로 위협 헌팅.
14. 심층 분석: ATA 시대 Mac 개발자 아키텍처 선택
JADEPUFFER는 진행 중인 패러다임 전환을 보여줍니다: 공격자에게 exploit 작성자는 불필요하고 Agent 설정자만 있으면 됨. Mac에서 Langflow, OpenClaw, MLX 로컬 추론을 실행하는 개발자에게 「개발기」와 「Agent 프로덕션 환경」은 물리·논리적으로 분리해야 합니다.
이번 Langflow 진입기가 발판이 된 핵심 이유: (1) 인터넷 도달 가능 (2) 환경 변수 API Key 집중 (3) 내부 MinIO/terraform-state 동일 세그먼트. Mac mini에서 Langflow 프로토타입과 프로덕션 API Key 테스트를 동시 실행하는 독립 개발자——JADEPUFFER가 악용한 「급한 프로덕션」 패턴입니다.
더 깊은 경제 신호는 LLMjacking: OpenAI/Anthropic 자격 증명 탈취 후 도난 API로 Agent 구동·다음 공격——「자격 증명 탈취 → Agent 실행 → 추가 탈취」 정(+)피드백. API Key 보유·Agent 관리 포트 노출 Mac은 피해자이자 다음 공격자 탄약고.
Windows/Linux 클라우드에서도 Langflow는 동작하나, Xcode 툴체인, Cursor/Claude Code 협업, Apple Silicon MLX 로컬 추론에서는 Mac이 더 편한 경우가 많습니다. 핵심은 「플랫폼 교체」가 아니라 Agent 실험과 프로덕션 자격 증명/데이터 계층 분리——프로덕션 키 없이 공개 포트 미매핑 격리 Mac에서 오케스트레이션 프로토타입을 SSH 터널로 검증, 침해 시 스냅샷 롤백으로 본기 오염 방지.
15. 참고 출처
- Sysdig《JADEPUFFER: Agentic ransomware for automated database extortion》(원본 기술 보고, sysdig.com/blog)
- BleepingComputer《JadePuffer ransomware used AI agent to automate entire attack》
- Dark Reading《JadePuffer: The First Complete LLM-Driven Ransomware Attack》
- CyberScoop《Sysdig clocks first documented case of agentic ransomware》
- CSO Online《This AI agent autonomously hacked a network...》(Vibhum Dubey 코멘트 포함)
- Security Affairs《JADEPUFFER: First End-to-End AI-Driven Ransomware Operation》
- Trend Micro《Critical Langflow Vulnerability (CVE-2025-3248) Actively Exploited to Deliver Flodrix Botnet》
- NVD / SentinelOne / Zscaler — CVE-2025-3248 독립 분석; CISA KEV 카탈로그
16. 마무리: Agent 개발을 본기에서 맨몸으로 돌리지 마세요——격리 Mac 노드가 더 안정적입니다
JADEPUFFER는 인터넷 노출 AI 오케스트레이션 + 환경 변수 API Key가 2026년 최고 위험 조합 중 하나임을 증명했습니다. Windows/Linux 클라우드에서도 Langflow는 동작하나, 터미널 AI 도구 연동·MLX 로컬 추론·스냅샷 복구에서는 Apple Silicon Mac이 더 통제하기 쉽습니다. 격리 환경에서 Langflow/OpenClaw Agent 워크플로를 검증하고 본기 API Key·프로덕션 데이터를 같은 풀에 두지 않아야 한다면 MACGPU 원격 Mac mini M4 노드를 검토할 수 있습니다: 공개 포트 미매핑, 필요 시 기동, 침해 시 스냅샷 재구축——「ATA 시대」 위험을 9.8점 취약점을 수동 대기하는 것이 아니라 관리 가능한 아키텍처 결정으로 전환합니다.