Компрометация ComfyUI: ботнет, майнинг и RCE-атаки

Активная кампания против ComfyUI: более 1000 уязвимых экземпляров и двойная схема монетизации

Исследователи безопасности из Censys ARC выявили активную кампанию, нацеленную на неаутентифицированные развертывания ComfyUI — графического интерфейса, который преимущественно используется для запуска моделей искусственного интеллекта, в частности для генерации изображений. По данным отчета, в открытом доступе обнаружено более 1000 экземпляров, уязвимых к Remote Code Execution (RCE) из-за ошибок в конфигурации.

Ключевой фактор риска связан с тем, что некоторые развертывания позволяют выполнять произвольный Python-код через custom nodes. Именно этот механизм атакующие используют для внедрения вредоносных компонентов и последующего закрепления в системе.

Как работает атака

По данным исследователей, злоумышленники используют специально разработанный Python scanner, который автоматически проверяет основные диапазоны IP-адресов облачных провайдеров. Если обнаруживается уязвимый хост, на него незамедлительно разворачиваются вредоносные узлы.

После компрометации зараженные системы включаются в двойную схему атаки:

• майнинг криптовалюты с использованием XMRig для Monero и lolMiner для Conflux;
• развертывание Hysteria v2 proxy botnet, управляемого через Flask-based control panel.

Вредоносное ПО, получившее название ghost.sh, демонстрирует развитые механизмы уклонения и закрепления. В частности, оно использует fileless execution и маскирует свои процессы под легитимные kernel Threads (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta).

Усиленные версии и бэкдоры

Обновленные версии сканера, особенно v8.2, содержат два встроенных backdoor-механизма, обеспечивающих повторное заражение. Один из них маскируется под GPU Performance Monitor и повторно загружает payload каждые шесть часов.

Такая схема делает атаку устойчивой даже после попыток очистки системы: вредоносный код способен восстанавливаться и возвращаться в активную фазу снова и снова.

Эксплуатация через архитектуру ComfyUI

Основной вектор эксплуатации связан с архитектурой ComfyUI, где malicious payload может быть внедрен через custom nodes, принимающие raw Python code. Если такие узлы не установлены, scanner сначала проверяет наличие ComfyUI-Manager, а затем при необходимости устанавливает его в вредоносной версии, чтобы облегчить дальнейшую эксплуатацию.

В отчете подчеркивается, что именно гибкость и расширяемость интерфейса, изначально создававшиеся как преимущество, в данном случае становятся точкой входа для атакующих.

GHOST v5.1: устойчивость, сокрытие и закрепление

Установленный скрипт, известный как GHOST v5.1, использует набор техник для обеспечения работы и устойчивости. Среди них:

• memfd_create для execution in memory;
• LD_PRELOAD для сокрытия присутствия путем внедрения в другие процессы;
• inotify watchdog для отслеживания изменений и восстановления компонентов;
• создание распределенных копий самого себя по файловой системе;
• маскировка активности от system monitoring tools.

Такая комбинация делает обнаружение и удаление угрозы существенно сложнее, особенно в средах, где контроль за контейнерами и облачными хостами ограничен.

Конкурентная борьба на зараженных хостах

Помимо собственного майнинга и proxy-ботнета, GHOST активно подавляет конкурирующую активность. ВПО выявляет и нейтрализует другие mining processes, завершает их работу с помощью расширенного black list и применяет iptables для блокировки соединений с известными mining pools.

Отдельно отмечается попытка перехвата контроля над другими botnet-структурами. В частности, кампания нацелена на конкурента, идентифицированного как Hisana: его конфигурации перезаписываются данными mining pool атакующего.

Почему это важно

Случай с ComfyUI показывает, насколько опасными могут быть неаутентифицированные и неправильно настроенные AI-инструменты, если они доступны из интернета. В сочетании с возможностью запуска произвольного Python-кода это создает идеальные условия для массовой компрометации.

Вывод исследователей однозначен: облачные развертывания ComfyUI требуют немедленной проверки, ограничения доступа и отключения всех ненужных возможностей, связанных с выполнением кода.