Cette attaque s’appuie sur des informations d’identification volées afin de cibler dix services de grands modèles de langage (LLM) hébergés dans le cloud, connue sous le nom de LLMjacking. Les informations d’identification ont été obtenues à partir d’une cible populaire, un système utilisant une version vulnérable de Laravel (CVE-2021-3129). Les attaques contre les systèmes d’intelligence artificielle (IA) basés sur un LLM ont souvent été discutées, mais principalement autour de l’abus de prompt et de l’altération des données de formation. Dans ce cas, les attaquants ont l’intention de vendre l’accès au LLM à d’autres cybercriminels, tandis que le propriétaire du compte cloud paie la facture.
Le vol d’identifiants cloud et SaaS reste un vecteur d’attaque courant. Cette tendance ne fera que croître à mesure que les attaquants sauront comment tirer parti de leur nouvel accès pour générer des revenus. L’utilisation de services LLM peut être coûteuse, en fonction du modèle et de la quantité de jetons fournis. Comme on le dit toujours chez Sysdig, la détection et la réponse sont essentielles pour traiter rapidement tout problème.