Более 1000 уязвимых экземпляров ComfyUI подверглись атаке в рамках кампании ботнета для криптомайнинга

Ой-ой — более 1000 уязвимых экземпляров ComfyUI только что были полностью уничтожены кампанией ботнета для криптомайнинга. Злоумышленники используют уязвимости удаленного выполнения кода (RCE) без аутентификации, чтобы захватить эти инструменты для AI-воркфлоу, превращая их в зомби для майнинга Monero и расширяя свою армию ботнета.

ComfyUI — этот популярный инструмент с открытым исходным кодом для AI-воркфлоу в Stable Diffusion — подвергается серьезной атаке, потому что пользователи оставляют экземпляры открытыми в сети без аутентификации. Злоумышленники сканируют эти уязвимые конечные точки, загружают вредоносные полезные нагрузки через RCE, и бац: мгновенная инфраструктура для криптоджекинга.

Метод кампании: 1️⃣ Сканирование уязвимых экземпляров ComfyUI (порт по умолчанию 8188). 2️⃣ Использование конечных точек API без аутентификации для выполнения произвольного кода. 3️⃣ Развертывание программного обеспечения для майнинга Monero (XMR) для скрытого истощения вычислительных ресурсов. 4️⃣ Использование скомпрометированных узлов для дальнейшего распространения — классическая тактика расширения ботнета.

Это не только о краже GPU-ресурсов — это полноценное построение ботнета. Попав внутрь, злоумышленники могут перейти к кампаниям DDoS, эксфильтрации данных или развертыванию дополнительного вредоносного ПО. Гибкость ComfyUI (пользовательские узлы, выполнение Python) становится обоюдоострым мечом, когда он остается незащищенным.

Если вы запускаете ComfyUI публично, защитите его СЕЙЧАС. Включите аутентификацию, ограничьте доступ к сети и отслеживайте необычные всплески ресурсов. Эта атака доказывает, что даже нишевые AI-инструменты являются главными целями для автоматизированной эксплуатации.

Суть: Открытая AI-инфраструктура = бесплатная недвижимость для криптоджекеров. Будьте бдительны, исправляйте конфигурации и, возможно, не оставляйте свои GPU-фермы широко открытыми для интернета. 🛡️