LLMJacking versus DeepSeek

Seit der Entdeckung von LLMjacking durch das Sysdig Threat Research Team (TRT) im Mai 2024 haben die Sysdig-Forscher ständig neue Erkenntnisse und Anwendungen dieser Angriffe beobachtet. So wie sich große Sprachmodelle (LLMs) schnell weiterentwickeln und wir alle noch lernen, wie man sie am besten nutzt, entwickeln sich auch die Angreifer weiter und erweitern ihre Missbrauchsmöglichkeiten. Seit unserer ersten Entdeckung haben wir neue Motive und Methoden beobachtet, mit denen Angreifer LLMjacking durchführen – einschließlich der raschen Ausweitung auf neue LLMs wie DeepSeek.

Die Häufigkeit und Popularität von LLMjacking-Angriffen nimmt zu. Angesichts dieses Trends war es für die Sysdig-Forscher keine Überraschung, dass DeepSeek innerhalb weniger Tage ins Visier genommen wurde, nachdem es in den Medien große Aufmerksamkeit erregt und seine Nutzung stark zugenommen hatte. LLMjacking-Angriffe haben ebenfalls große öffentliche Aufmerksamkeit erregt, unter anderem durch eine Klage von Microsoft gegen Cyberkriminelle, die Anmeldeinformationen gestohlen und diese für den Missbrauch ihrer generativen KI-Dienste (GenAI) verwendet hatten. In der Klage wurde behauptet, dass die Beklagten DALL-E zur Generierung anstößiger Inhalte verwendet hätten.

Die Kosten für die Nutzung von LLM in der Cloud können enorm sein und mehrere Hunderttausend Dollar pro Monat übersteigen. Sysdig TRT fand mehr als ein Dutzend Proxyserver, die gestohlene Anmeldedaten für eine Vielzahl von Diensten verwendeten, darunter OpenAI, AWS und Azure. Die hohen Kosten von LLMs sind der Grund, warum Cyberkriminelle lieber Anmeldedaten stehlen, als für LLM-Dienste zu bezahlen.

LLMjackers greifen DeepSeek schnell an

Die Angreifer implementieren die neuesten Modelle schnell nach ihrer Veröffentlichung. Beispielsweise veröffentlichte DeepSeek am 26. Dezember 2024 sein fortgeschrittenes Modell DeepSeek-V3 und wenige Tage später war es bereits in einer ORP(oai-reverse-proxy)-Instanz implementiert, die auf der Open-Source-Plattform HuggingFace gehostet wurde:

Diese Instanz basiert auf einem Fork von ORP, wo sie den Commit mit der Implementierung von DeepSeek hochgeladen haben. Einige Wochen später, am 20. Januar 2025, veröffentlichte DeepSeek ein Reasoning-Modell namens DeepSeek-R1, das am nächsten Tag vom Autor dieses Fork-Repositories implementiert wurde.

Es wurde nicht nur Unterstützung für neue Modelle wie DeepSeek implementiert. Wir haben festgestellt, dass mehrere ORPs mit DeepSeek-API-Schlüsseln ausgestattet wurden und dass die Benutzer beginnen, diese zu verwenden.

LLMjacking-Taktiken, -Techniken und –Verfahren (TTP)

LLMjacking ist nicht mehr nur eine mögliche Modeerscheinung oder ein Trend. Es haben sich Communities gebildet, in denen Tools und Techniken ausgetauscht werden. ORPs werden aufgeteilt und speziell für LLMjacking-Operationen angepasst. Cloud-Zugangsdaten werden vor dem Verkauf auf LLM-Zugriff getestet. LLMjacking-Operationen beginnen, eine einzigartige Reihe von TTPs zu etablieren.

Communities

Es gibt viele aktive Communities, die LLMs für nicht jugendfreie Inhalte nutzen und KI-Charaktere für Rollenspiele erstellen. Diese Nutzer bevorzugen die Kommunikation über 4chan und Discord. Sie teilen den Zugang zu LLMs über ORPs, sowohl private als auch öffentliche. Während 4chan-Threads regelmäßig archiviert werden, sind Zusammenfassungen von Tools und Diensten häufig auf der Website Rentry.co im Pastbin-Stil verfügbar, die eine beliebte Wahl für den Austausch von Links und zugehörigen Zugangsinformationen ist. Auf Rentry gehostete Websites können Markdown verwenden, benutzerdefinierte URLs bereitstellen und nach der Veröffentlichung bearbeitet werden.

Bei der Untersuchung von LLMjacking-Angriffen in den Sysdig Cloud-Honeypot-Umgebungen entdeckten die Analysten mehrere TryCloudflare-Domains in den LLM-Eingabeaufforderungsprotokollen, bei denen der Angreifer den LLM zur Generierung eines Python-Skripts verwendete, das mit ORPs interagierte. Dies führte zu einer Rückverfolgung zu Servern, die TryCloudFlare-Tunnel verwendeten.

Diebstahl von Anmeldedaten

Angreifer stehlen Anmeldedaten über Schwachstellen in Diensten wie Laravel und verwenden dann die folgenden Skripte als Überprüfungswerkzeuge, um festzustellen, ob die Anmeldedaten für den Zugriff auf ML-Dienste geeignet sind. Sobald Zugriff auf ein System erlangt und Anmeldedaten gefunden wurden, führen Angreifer ihre Überprüfungsskripte auf den gesammelten Daten aus. Eine weitere beliebte Quelle für Anmeldedaten sind Softwarepakete in öffentlichen Repositories, die diese Daten preisgeben können.

Alle Skripte haben einige gemeinsame Eigenschaften: Gleichzeitigkeit, um bei einer großen Anzahl von (gestohlenen) Schlüsseln effizienter zu sein, und Automatisierung.

Bewährte Verfahren zur Erkennung und Bekämpfung von LLMjacking

LLMjacking wird hauptsächlich durch die Kompromittierung von Anmeldeinformationen oder Zugangsschlüsseln durchgeführt.

LLMjacking ist so weit verbreitet, dass MITRE LLMjacking in sein Attack Framework aufgenommen hat, um das Bewusstsein für diese Bedrohung zu schärfen und Verteidigern dabei zu helfen, den Angriff zu verstehen.

Die Verteidigung gegen die Kompromittierung von KI-Dienstkonten umfasst in erster Linie die Sicherung von Zugangsschlüsseln, die Implementierung eines starken Identitätsmanagements, die Überwachung auf Bedrohungen und die Gewährleistung eines Zugangs mit den geringsten Privilegien. Im Folgenden sind einige bewährte Verfahren zum Schutz vor der Kompromittierung von Konten aufgeführt:

Zugangsschlüssel sichern

Zugangsschlüssel sind ein wichtiger Angriffsvektor und sollten daher sorgfältig verwaltet werden.

– Vermeiden Sie die feste Kodierung von Anmeldeinformationen Betten Sie keine API-Schlüssel, Zugangsschlüssel oder Anmeldedaten in Quellcode, Konfigurationsdateien oder öffentliche Repositories (z.B. GitHub, Bitbucket) ein. Verwenden Sie stattdessen Umgebungsvariablen oder Tools zur Verwaltung von Geheimnissen wie AWS Secrets Manager, Azure Key Vault oder HashiCorp Vault.

– Verwenden Sie temporäre Anmeldedaten: Verwenden Sie temporäre Sicherheitsanmeldeinformationen anstelle von permanenten Zugriffsschlüsseln. Zum Beispiel AWS STS AssumeRole, Azure Managed Identities und Google Cloud IAM Workload Identity.

– Rotieren Sie AccessKeys:  Wechseln Sie Zugriffsschlüssel regelmäßig, um die Verwundbarkeit zu reduzieren. Automatisieren Sie den Rotationsprozess, wo immer dies möglich ist.

– Überwachen Sie offengelegte Anmeldedaten: Verwenden Sie automatisierte Scans, um ungeschützte Anmeldedaten zu identifizieren. Beispiele für Tools sind AWS IAM Access Analyzer, GitHub Secret Scanning und TruffleHog.

– Überwachen Sie das Verhalten von Konten: Wenn ein Kontoschlüssel kompromittiert wird, weicht er in der Regel vom normalen Verhalten ab und beginnt, verdächtige Aktionen auszuführen. Überwachen Sie Ihre Cloud- und KI-Dienstekonten kontinuierlich mit Tools wie Sysdig Secure.

Schlussfolgerung

Da die Nachfrage nach Zugang zu fortgeschrittenen LLMs gestiegen ist, sind LLMjacking-Angriffe immer beliebter geworden. Aufgrund der hohen Kosten hat sich ein Schwarzmarkt für den Zugang zu OAI Reverse Proxies entwickelt, und es sind Untergrund-Dienstleister entstanden, um die Bedürfnisse der Verbraucher zu befriedigen. LLMjacking-Proxy-Betreiber haben den Zugang zu Anmeldedaten erweitert, ihre Angebote angepasst und begonnen, neue Modelle wie DeepSeek zu integrieren.

Inzwischen sind legitime Nutzer zu einem Hauptziel geworden. Da die unbefugte Nutzung von Konten zu Verlusten in Höhe von Hunderttausenden von Dollar für die Opfer führt, ist die ordnungsgemäße Verwaltung dieser Konten und der damit verbundenen API-Schlüssel von entscheidender Bedeutung geworden.

LLMjacking-Angriffe entwickeln sich weiter, ebenso wie die Motive, die sie antreiben. Letztendlich werden Angreifer weiterhin versuchen, Zugang zu LLMs zu erhalten und neue böswillige Verwendungen für sie zu finden. Es liegt an den Benutzern und Organisationen, sich darauf vorzubereiten, sie zu erkennen und sich gegen sie zu verteidigen.

Since the discovery of LLMjacking by the Sysdig Threat Research Team (TRT) in May 2024, Sysdig researchers have continued to observe new findings and applications of these attacks. Just as large language models (LLMs) are rapidly evolving and we are all still learning how to best use them, attackers are also evolving and expanding their exploits. Since our initial discovery, we have observed new motivations and methods attackers are using to perform LLMjacking-including the rapid expansion to new LLMs such as DeepSeek.

The frequency and popularity of LLMjacking attacks is increasing. Given this trend, it was no surprise to the Sysdig researchers that DeepSeek was targeted within days of receiving significant media attention and a sharp increase in its use. LLMjacking attacks have also received a lot of public attention, including a lawsuit filed by Microsoft against cybercriminals who stole credentials and used them to abuse its Generative AI (GenAI) services. The lawsuit alleged that the defendants used DALL-E to generate offensive content.

The cost of using LLM in the cloud can be enormous, exceeding hundreds of thousands of dollars per month. Sysdig TRT found more than a dozen proxy servers using stolen credentials for a variety of services, including OpenAI, AWS, and Azure. The high cost of LLMs is why cybercriminals prefer to steal credentials rather than pay for LLM services.

LLMjackers Attack DeepSeek Quickly

Attackers implement the latest models quickly after they are released. For example, DeepSeek released its advanced model DeepSeek-V3 on December 26, 2024, and a few days later it was implemented in an ORP (oai-reverse-proxy) instance hosted on the HuggingFace open source platform:

This instance is based on a fork of ORP, where they uploaded the commit with DeepSeek’s implementation. A few weeks later, on January 20, 2025, DeepSeek released a reasoning model called DeepSeek-R1, which was implemented the next day by the author of this forked repository.

Not only was support for new models like DeepSeek implemented. We have noticed that several ORPs have been provided with DeepSeek API keys and that users are starting to use them.

LLMjacking Tactics, Techniques and Procedures (TTP)

LLMjacking is no longer just a possible fad or trend. Communities have formed where tools and techniques are shared. ORPs are shared and adapted specifically for LLMjacking operations. Cloud credentials are tested for LLM access before being sold. LLMjacking operations begin to establish a unique set of TTPs.

Communities

There are many active communities using LLMs for adult content and creating AI characters for role-playing games. These users prefer to communicate via 4chan and Discord. They share access to LLMs via ORPs, both private and public.

While 4chan threads are regularly archived, summaries of tools and services are often available on the pastbin-style site Rentry.co, which is a popular choice for sharing links and related access information. Sites hosted on Rentry can use Markdown, have custom URLs, and can be edited after publication.

While investigating LLMjacking attacks in the Sysdig Cloud honeypot environments, analysts discovered several TryCloudflare domains in the LLM prompt logs where the attacker used the LLM to generate a Python script that interacted with ORPs. This resulted in a trace back to servers using TryCloudFlare tunnels.

Credential theft

Attackers steal credentials through vulnerabilities in services such as Laravel, and then use the following scripts as verification tools to determine if the credentials are suitable for accessing ML services. Once access to a system is gained and credentials are found, attackers run their validation scripts on the collected data. Another popular source of credentials is software packages in public repositories that can expose this data.

All scripts share some common characteristics: concurrency, to be more efficient with a large number of (stolen) keys, and automation.

Best practices for detecting and mitigating LLMjacking

LLMjacking is primarily performed by compromising credentials or access keys.

LLMjacking is so common that MITRE has included LLMjacking in its Attack Framework to raise awareness of the threat and help defenders understand the attack.

Defending against the compromise of AI service accounts primarily involves securing access keys, implementing strong identity management, monitoring for threats, and ensuring least privilege access. Below are some best practices to protect against account compromise:

Secure Access Keys

Access keys are a major attack vector and should be carefully managed.

– Do not embed API keys, access keys, or credentials in source code, configuration files, or public repositories (e.g., GitHub, Bitbucket). Instead, use environment variables or secrets management tools such as AWS Secrets Manager, Azure Key Vault, or HashiCorp Vault.

– Use temporary credentials: Use temporary security credentials instead of permanent access keys. Examples include AWS STS AssumeRole, Azure Managed Identities, and Google Cloud IAM Workload Identity.

– Rotate access keys:  Change access keys regularly to reduce vulnerability. If possible, automate the rotation process.

– Monitor exposed credentials: Use automated scans to identify exposed credentials. Examples of tools include AWS IAM Access Analyzer, GitHub Secret Scanning, and TruffleHog.

– Monitor account behavior: When an account key is compromised, it will typically deviate from normal behavior and start performing suspicious actions. Continuously monitor your cloud and AI service accounts with tools like Sysdig Secure.

The bottom line

As the demand for access to advanced LLMs has increased, LLMjacking attacks have become more popular. Due to the high cost, a black market for access to OAI reverse proxies has developed, and underground service providers have emerged to meet consumer demand. LLMjacking proxy operators have expanded access to credentials, adapted their offerings, and begun to integrate new models such as DeepSeek.

Meanwhile, legitimate users have become prime targets. With unauthorized account use costing victims hundreds of thousands of dollars, proper management of these accounts and associated API keys has become critical.

LLMjacking attacks continue to evolve, as do the motivations that drive them. Ultimately, attackers will continue to try to gain access to LLMs and find new malicious uses for them. It’s up to users and organizations to prepare to detect and defend against them.