Popularni Python framework za brzu AI prototipizaciju, Langflow, suočava se sa značajnim napadima nakon što su istraživači otkrili ranjivost CVE-2025-3248. Ova mana, locirana u endpoint-u `/api/v1/validate/code`, omogućava neautentifikovanim napadačima da izvršavaju proizvoljni Python kod jednim dobro pripremljenim POST zahtjevom.
Ubrzo nakon javnog objavljivanja koncepta eksploatacije, akteri prijetnji započeli su masovno skeniranje Shodan i FOFA platformi u potrazi za serverima koji koriste verzije starije od 1.3.0. Napadi su evoluirali od komandi za izviđanje, poput `whoami`, do potpunog preuzimanja sistema putem udaljenih shell-ova. Posljedice su ozbiljne: kompromitovana Langflow instanca može biti zloupotrijebljena za distribuirane napade uskraćivanjem usluge (DDoS) ili za masovnu krađu podataka, ugrožavajući same AI radne procese koje je trebala ubrzati.
Analitičari Polyswarm-a primijetili su iznenadnu pojavu novih uzoraka malvera koji dijele istu XOR-šifrovanu tablicu stringova i samobrišući učitavač. Ove karakteristike su ih odmah povezale sa novonastalim Flodrix botnetom. Za razliku od svog prethodnika, LeetHozer, Flodrix kreira potomke procesa sa obmanjujućim nazivima, briše forenzičke tragove i izbjegava ponovnu zarazu hosta ako postoji skrivena datoteka `.system_idle`, što ukazuje na to da je čvor već pod kontrolom.
Kampanja je dosegla zabrinjavajuće razmjere: identifikovano je preko 1.600 Langflow servera izloženih na internetu, mnogi od njih unutar istraživačkih cloud-ova i startup klastera gdje podrazumijevane konfiguracije ostavljaju ranjivi endpoint otvorenim. Prve žrtve prijavljuju nagli porast opterećenja CPU-a i izlazni saobraćaj prema Tor relejima u roku od nekoliko minuta nakon proboja, naglašavajući dvostruku ulogu botneta kao DDoS oružja i prikrivenog sakupljača podataka.
Mehanizam infekcije započinje sa eksploatom veličine 200 bajtova koji ubacuje Python kod direktno u radni proces Langflow-a. Ovo pokreće proces `/tmp/docker`, alat za preuzimanje koji dohvaća glavni ELF payload preko sirovog TCP-a ili šifrovanih Tor krugova. Nakon izvršavanja, Flodrix provjerava posjedovanje root privilegija. Ako uspije, instalira sistemsku uslugu pod nazivom `langflow-sync.service`, čime osigurava postojanost nakon ponovnog pokretanja.
Srž botnet-a zatim izvršava sljedeću rutinu kako bi prikrio svoju komandno-kontrolnu (C2) infrastrukturu:
seed = 0x5A
addr_enc = b’\x13\x37\x42\x1f’
c2 = bytes([(b ^ seed) for b in addr_enc]) # XOR-decodirana C2 IP adresa
Isti `seed` služi i kao “kill-switch”. Ako administratori pošalju ovu vrijednost na port 6666/TCP, zaraženi hostovi se momentalno gase. Sve dok preduzeća ne ažuriraju svoje Langflow instalacije na verziju 1.3.0 i ne zaštite javne endpoint-ove firewall-om, Flodrix će nastaviti pretvarati nezaštićene AI čvorove u poslušne mašine za napad, jedan po jedan, vješto konstruisanim POST zahtjevom.
