Eine neue böswillige Kampagne hat gezeigt, wie ein Werkzeug zum Experimentieren mit stabilen Verbreitungsmodellen ein Tor für groß angelegte kriminelle Operationen werden kann. Sicherheitsforscher identifizierten einen in Python geschriebenen Scanner, der Adressblocks in Cloud-Lieferanten auf der Suche nach Instanzen von ComfyIU öffentlich exponiert, und das nutzt automatisch eine unsichere Konfiguration in so genannten "Kundenknoten", um Remote-Code auszuführen und diese Maschinen in Knoten eines Botnets zu Kryptomoneda Bergbau und Proxies-Verleih.
ComfyIU, deren Code und Repository in GitHub, ist eine beliebte Schnittstelle für stabile Durchfluss-Workflows. Ihre Flexibilität - die Möglichkeit, benutzerdefinierte Knoten hinzuzufügen, die Python-Code ausführen - ist genau das, was die Angreifer ausnutzen. Einige Knoten Familien akzeptieren Codeeinträge ohne Authentifizierungsbarriere, so dass ein bösartiger Schauspieler Payloads injizieren und Befehle im System ausführen kann, das ComfyUI beherbergt.
Laut der Analyse sucht der Bediener nicht nur nach bereits gefährdeten Knoten: Wenn Sie erkennen, dass die Instanz ComfyUI-Manager installiert hat, können Sie es verwenden, um ein schädliches Paket von Ihrem eigenen zu implementieren und so den Angriffsvektor zu erhalten. Von dort wird die engagierte Ausrüstung verwendet, um Kryptomoneda mit Werkzeugen bekannt als XMRig(Affe) und LolMiner(in diesem Fall für Conflux), und es wird auch als Teil eines V2 Hysteria-Netzwerks vorbereitet, Knoten als Proxies anzubieten. Steuerung und Fernsteuerung von infizierten Geräten wird von einem Panel auf Basis von Flammen, die das Senden von Befehlen erleichtert und zusätzliche Lasten installiert.
Die von den Analysatoren beschriebenen Mechanismen der Persistenz sind besonders aggressiv. Der Installateur lädt regelmäßig ein Skript namens "ghost.sh" herunter, das die Shell-Geschichte deaktiviert, um Drucke zu löschen, Rivalen-Mining-Prozesse zu beenden, startet den Bergbau und verwendet Techniken wie LD _ PRELOAD, um einen wachsamen Prozess zu verstecken, der den Bergbau weiterleitet, wenn es stoppt. Darüber hinaus kopiert Malware die Binaries an mehrere Standorte und verwendet Dateisystem-Attribute (z.B. von Chattr + i) zu verhindern, dass sogar Root-Benutzer die Bedrohungsdateien löschen oder ändern.
Ein markantes Detail des Berichts ist die ausdrückliche Absicht des Betreibers, den Wettbewerb zu neutralisieren: Manchmal tötet das Drehbuch nicht nur andere Bergleute, sondern überschreibt die Konfiguration eines Konkurrenten-Botnets - intern unter dem Namen "Hisana" genannt - um seine Bergbauproduktion in die Handtasche des Angreifers umzuleiten und seinen Kontrollhafen zu besetzen. Diese Art von Verhalten deutet darauf hin, dass es jenseits der opportunistischen Nutzung ein Interesse daran gibt, die wirtschaftlichen Vorteile der Operation zu maximieren und sicherzustellen.
Die Skala des Problems ist in absoluten Begriffen nicht massiv: Die Daten auf der exponierten Oberfläche zeigen knapp über tausend Fälle von ComfyUI aus dem Internet zugänglich. Aber diese Zahl reicht für automatisierte Kampagnen aus, die verletzliche Ziele in der Cloud-Infrastruktur suchen und Ressourcen für Profit wiederverwenden. Die Forscher fanden sogar ein zugängliches Verzeichnis in einer IP, die mit Unterkünften verbunden ist, die als "bulletproof" eingestuft wurden, in der die Sammlung von Werkzeugen zur Identifizierung, Ausbeutung und Erhaltung von Hosts gehostet wurde.
Diese Forschung verbindet sich mit einem breiteren Trend: In den letzten Wochen und Monaten wurden mehrere Wellen von Botnets beobachtet, die die Ausbeutung öffentlicher Schwachstellen, Massenscans und relativ bescheidene, aber automatische Werkzeuge kombinieren, um andere Ressourcen zu monetarisieren. Kampagnen, die Automatisierungssoftware, IoT-Geräte und exponierte Dienstleistungen nutzen, haben zugenommen, und Kriminelle nutzen Code und Taktik - wie XMRig Bergbau oder Upgrade-Einstellungen Modifikationen - um ihre Widerstandsfähigkeit zu erhöhen.
Die gute Nachricht ist, dass Klimaschutzmaßnahmen klar und durchsetzbar sind. Vor allem, nicht aussetzen Comfy UI-Instanzen direkt im Internet es sei denn, es gibt eine robuste Authentifizierungsschicht und gut konfigurierte Zugriffssteuerungen. Für diejenigen, die unbedingt Remote-Zugriff haben müssen, kapseln Sie den Dienst nach einem VPN, ein authentifizierter Tunnel oder Firewall Regeln, die die erlaubten PIs begrenzen stark reduziert das Risiko. Es ist von entscheidender Bedeutung, die benutzerdefinierten Knoten, die willkürlichen Code akzeptieren, zu deaktivieren oder zu überprüfen; entfernen ComfyUI-Manager, wenn nicht erforderlich und überprüfen Sie die Inventar der installierten Pakete verhindert, dass ein Angreifer böswillige Komponenten automatisch installieren.
Die Überwachung ist auch relevant: Alarme auf ungewöhnliche Prozesse, persistente ausgehende Verbindungen zu verdächtigen PIs, binäre Dateiänderungen oder das Auftauchen unautorisierter geplanter Aufgaben sollten sofort untersucht werden. Darüber hinaus können das Betriebssystem und die Einheiten auf dem neuesten Stand halten und Integritätskontrollen auf den Binaries anwenden, um bösartige Änderungen zu erkennen und umzukehren. Bei Cloud-Ausrüstungen sollten restriktive IAM-Politiken und regelmäßige öffentliche Expositionsscans Teil der Grundhygiene sein.
Wenn Sie in die oben genannten technischen Komponenten gehen möchten, ist es ratsam, die Quellen der oben genannten Projekte direkt zu überprüfen - zum Beispiel das offizielle Projektarchiv von ComfyIU die Dokumentation XMRig und der Code LolMiner- und folgen Sie den Analysen, die von Security Intelligence Providern als Censys oder von Unternehmen, die an der Entdeckung und Minderung von Bedrohungen beteiligt sind. Es wird auch untersucht, wie "Kundenknoten" entfernte Vektoren öffnen können, ein Thema, das in früheren Analysen von Sicherheitsteams behandelt wurde.
Die Folge erinnert uns erneut daran, dass Bequemlichkeit und Experimentation in IA- und ML-Werkzeugen zu einem Preis kommen können, wenn Sicherheitspraktiken nicht aus dem Design aufgenommen werden. Plattformen, die eine dynamische Codeausführung ermöglichen, sollten als hohes Risiko angesehen werden wenn sie ohne Authentifizierung und ohne strenge Implementierungskontrollen ausgesetzt sind. Für Ingenieure und Geräte ist die Empfehlung klar: Überprüfungskonfigurationen, Begrenzung der öffentlichen Oberfläche und frühe Erkennung, bevor ein Forschungstool die Finanzierung eines Angreifers beendet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...