Wprowadzenie do problemu
Krytyczna podatność CVE-2026-39987 w środowisku Marimo stała się celem aktywnych kampanii ataków niemal natychmiast po ujawnieniu szczegółów technicznych. Luka umożliwia zdalne wykonanie kodu bez uwierzytelnienia, co oznacza, iż publicznie dostępne instancje mogą zostać przejęte bez wcześniejszego logowania.
Problem jest szczególnie istotny dla organizacji korzystających z notebooków Pythona w analizie danych, uczeniu maszynowym i projektach AI. Takie środowiska często przechowują klucze API, sekrety chmurowe, poświadczenia do baz danych i elementy konfiguracji pipeline’ów, przez co stają się atrakcyjnym celem dla operatorów malware.
W skrócie
- Atakujący wykorzystują CVE-2026-39987 do wykonania komend na podatnych instancjach Marimo bez uwierzytelnienia.
- W zaobserwowanych incydentach dochodziło do kradzieży sekretów i poświadczeń z plików konfiguracyjnych oraz zmiennych środowiskowych.
- Jednym z kluczowych etapów kampanii było pobieranie droppera hostowanego na platformie Hugging Face Spaces.
- Po infekcji wdrażany był wariant malware NKAbuse, kojarzony z komunikacją opartą na sieci NKN.
- Badacze odnotowali również próby reverse shell, ruch boczny do PostgreSQL i Redis oraz mechanizmy persystencji.
Kontekst i historia
Marimo zyskuje popularność jako nowoczesne, reaktywne środowisko notebookowe dla Pythona, wykorzystywane przez deweloperów, analityków i zespoły AI. Wraz ze wzrostem wdrożeń rośnie jednak także jego znaczenie z perspektywy obrony, szczególnie gdy instancje są wystawiane bezpośrednio do internetu.
Publiczne informacje wskazują, iż ujawnienie problemu nastąpiło 8 kwietnia 2026 r., a pierwsze próby aktywnego wykorzystania odnotowano w czasie krótszym niż 10 godzin. Tak szybkie uzbrojenie podatności pokazuje, iż cyberprzestępcy stale monitorują nowe luki w narzędziach wykorzystywanych w ekosystemie data science i AI.
Na uwagę zasługuje również użycie legalnej infrastruktury do dystrybucji komponentów ataku. W praktyce oznacza to, iż standardowe mechanizmy reputacyjne i filtrowanie ruchu mogą nie wystarczyć do wykrycia lub zablokowania całego łańcucha infekcji.
Analiza techniczna
Źródłem problemu jest preautoryzacyjna podatność RCE powiązana z terminalowym endpointem WebSocket w Marimo. Atakujący mogą przesyłać odpowiednio przygotowane żądania i uruchamiać polecenia systemowe bez przechodzenia standardowego procesu logowania.
Po uzyskaniu wykonania kodu obserwowano kilka typowych działań poeksploatacyjnych. Pierwszym było rozpoznanie środowiska i szybka ekstrakcja sekretów, w tym kluczy API, danych dostępowych do baz, tokenów oraz zawartości plików .env. Drugim elementem były wielokrotne próby uzyskania reverse shell z wykorzystaniem różnych interpreterów i narzędzi, takich jak bash, sh, Python czy netcat.
Kolejny etap obejmował ruch boczny do usług towarzyszących, zwłaszcza PostgreSQL i Redis, przy użyciu poświadczeń znalezionych na zainfekowanym hoście. Taki scenariusz znacząco zwiększa skalę incydentu, ponieważ kompromitacja pojedynczego notebooka może prowadzić do przejęcia kolejnych systemów w środowisku.
Szczególnie interesujący był mechanizm wdrażania malware. Po skutecznej eksploatacji operator pobierał skrypt instalacyjny z przestrzeni utworzonej w Hugging Face Spaces. Całość była przygotowana w sposób przypominający legalne narzędzia deweloperskie, co sugeruje kamuflaż nazewniczy i próbę uwiarygodnienia źródła pobrania.
Następnie dropper instalował binarium podszywające się pod legalny komponent systemowy lub narzędzie użytkowe. W celu utrzymania dostępu wykorzystywano mechanizmy persystencji zależne od platformy, w tym usługi systemd, zadania cron oraz elementy autostartu charakterystyczne dla macOS.
Sam ładunek został opisany jako nowy wariant NKAbuse. Z analiz wynika, iż zachowuje on cechy rodziny malware wykorzystującej sieć NKN do komunikacji C2, a jednocześnie zawiera funkcje bardziej typowe dla nowoczesnego backdoora, takie jak zdalne wykonywanie poleceń, obsługa translacji NAT oraz kanały komunikacyjne oparte na technologiach sieciowych używanych do zestawiania połączeń.
Konsekwencje i ryzyko
Ryzyko związane z CVE-2026-39987 należy ocenić jako bardzo wysokie. Luka nie wymaga uwierzytelnienia, więc publicznie dostępne instancje mogą zostać przejęte niemal natychmiast po wykryciu przez automatyczne skanery.
Środowiska notebookowe są przy tym szczególnie wrażliwe, ponieważ często działają blisko danych, modeli, usług chmurowych i baz danych. Przechowywane w nich sekrety mogą umożliwić atakującym nie tylko przejęcie pojedynczego hosta, ale także rozszerzenie dostępu na inne elementy infrastruktury.
- pełne wykonanie dowolnego kodu na serwerze,
- wyciek kluczy API, haseł i tokenów,
- kompromitację usług takich jak PostgreSQL i Redis,
- instalację malware z trwałą persystencją,
- wykorzystanie hosta jako elementu botnetu lub punktu wyjścia do dalszych ataków,
- utrudnioną detekcję ze względu na użycie legalnych platform hostingowych do dostarczania ładunku.
Rekomendacje
Najważniejszym działaniem naprawczym jest niezwłoczna aktualizacja Marimo do wersji 0.23.0 lub nowszej. jeżeli wdrożenie poprawki nie jest możliwe od razu, należy odciąć publiczny dostęp do podatnego endpointu terminalowego, zwłaszcza /terminal/ws, najlepiej na poziomie zapory sieciowej, reverse proxy lub segmentacji sieci.
- przeprowadzić inwentaryzację wszystkich instancji Marimo dostępnych z internetu,
- uznać sekrety obecne na potencjalnie narażonych hostach za skompromitowane i przeprowadzić ich rotację,
- przeanalizować logi pod kątem nietypowych połączeń WebSocket, użycia curl i wget, prób reverse shell oraz odwołań do zewnętrznych repozytoriów,
- sprawdzić mechanizmy persystencji w systemd, cron i elementach autostartu użytkownika,
- zweryfikować połączenia do PostgreSQL i Redis pod kątem nietypowej enumeracji i nieautoryzowanych operacji,
- wdrożyć EDR lub XDR oraz reguły wykrywające nadużycia interpreterów powłoki i wykonywanie skryptów pobieranych z internetu,
- ograniczyć przechowywanie sekretów w zmiennych środowiskowych i plikach .env na hostach dostępnych publicznie,
- stosować zasadę najmniejszych uprawnień i separować środowiska notebookowe od systemów produkcyjnych.
Dla organizacji rozwijających rozwiązania AI ważne staje się także monitorowanie legalnych usług deweloperskich i chmurowych jako potencjalnych kanałów dostarczania złośliwego oprogramowania. Atakujący coraz częściej wykorzystują zaufane platformy do ukrycia aktywności i zwiększenia skuteczności kampanii.
Podsumowanie
Kampania wykorzystująca CVE-2026-39987 pokazuje, iż narzędzia data science i AI stały się pełnoprawnym celem operacji ofensywnych. W tym przypadku skuteczna eksploatacja Marimo prowadzi nie tylko do wykonania kodu i kradzieży sekretów, ale również do wdrożenia nowego wariantu NKAbuse z użyciem infrastruktury hostowanej na Hugging Face.
Dla zespołów bezpieczeństwa to wyraźny sygnał, iż notebooki, środowiska eksperymentalne i narzędzia developerskie muszą być traktowane jak krytyczne elementy powierzchni ataku. Regularne patchowanie, ograniczanie ekspozycji, rotacja sekretów i monitoring behawioralny powinny stać się w ich przypadku standardem.
Źródła
- BleepingComputer – Hackers exploit Marimo flaw to deploy NKAbuse malware from Hugging Face — https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/
- Sysdig – CVE-2026-39987 update: How attackers weaponized marimo to deploy a blockchain botnet via HuggingFace — https://www.sysdig.com/blog/cve-2026-39987-update-how-attackers-weaponized-marimo-to-deploy-a-blockchain-botnet-via-huggingface
- BleepingComputer – Critical Marimo pre-auth RCE flaw now under active exploitation — https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/
- Kaspersky – Kaspersky exposes NKAbuse, a multiplatform malware leveraging blockchain technology — https://usa.kaspersky.com/about/press-releases/kaspersky-exposes-nkabuse-a-multiplatform-malware-leveraging-blockchain-technology
- GitHub Advisory Database – GHSA-2679-6mx9-h9xc — https://github.com/advisories/GHSA-2679-6mx9-h9xc
