BT araştırmacıları, kötü niyetli aktörlerin ComfyUI sunucularını bir botnet'e bağladığı bir saldırı dalgası görüyor. Güvenliği ihlal edilen örnekler, kripto madencileri ve proxy sunucuları gibi davranır.
Duyurudan sonra devamını okuyun
Censys'teki siber güvenlik araştırmacıları bunu bir blog yazısında bildiriyor. Gözlemlenen saldırı dalgası 12 Mart 2026'da başladı. Censys sistemleri, kurşun geçirmez bir barındırıcıda saldırganların internet taramalarından veri topladığı anlaşılan, hızla dolan bir dizin keşfetti. Soruşturma, suçluların internette ücretsiz olarak bulunan ComfyUI örneklerini hedef aldığı sonucuna varılmasını sağladı: Censys araştırmacıları internette bu türden binden fazla kurulum tespit etti. Saldırganlar, önceden kimlik doğrulaması yapmadan kötü amaçlı yazılım dağıtımı gerçekleştirmek için özel düğüm ekosistemini kötüye kullanmaya çalışır. “Özel Düğümler” ComfyUI'da kendi modüllerinizi kurmanız anlamına gelir; eğer bir konfigürasyon hatası varsa, görünüşe göre kayıt olmadan da mümkün.
Python kodlama dilinde programlanan bir tarayıcı, savunmasız hedefler için geniş IP aralıklarını tarar ve henüz sömürülebilir bir düğüm bulamadıysa ComfyUI yöneticisi aracılığıyla kötü amaçlı düğümleri otomatik olarak yükler. Saldırganlar, güvenliği ihlal edilmiş sunucuları Flask tabanlı bir komut ve kontrol panosu aracılığıyla merkezi olarak kontrol eder. Örnekler sonuçta XMRig kullanarak Monero'yu ve lolMiner'ı kullanarak Conflux'u çıkarıyor. Bunlar aynı zamanda “Hysteria v2” botnetinin bir parçasıdır.
Bağlantılı kötü amaçlı yazılım
Analistlerin de belirttiği gibi, bağlantılı kötü amaçlı yazılımlar karmaşıktır. Dosyalar silinmeden çalışarak ve çekirdek iş parçacığı sürecini maskeleyerek tespitten kaçmaya çalışır. Ayrıca kendisini LD_PRELOAD rootkit olarak sabitler. Saldırganlar dinamik olarak bağlantılı programların mevcut işlevlerinin üzerine yazar. Ayrıca, “ghost.sh” kötü amaçlı yazılımının, cryptominer bileşeninin kaldırılmasından ve sistemin yeniden başlatılmasından sağ çıkabilen üç bağımsız “yeniden doğuş mekanizması” vardır.
Python tarayıcısı da güncellemeleri alır. Siber araştırmacılar, sürüm 8.2'nin iki yeni yeniden enfeksiyon mekanizması aldığını bildiriyor. Bunlardan biri “GPU Performans İzleyicisi” düğümü gibi görünüyor ve kötü amaçlı kodu her altı saatte bir yeniden yüklüyor. Ancak ikincisi, başlangıç iş akışı gibi görünüyor ancak kötü amaçlı yazılım tarafından zehirleniyor.
İlgilenenler analizde daha derinlemesine ayrıntılar bulabilecekler. Sonuç olarak Censys çalışanları, ComfyUI yöneticilerinin mevcut saldırı dalgasında hedef olup olmadıklarını kontrol etmek için kullanabilecekleri çeşitli güvenlik ihlali göstergeleri (IOC) sağlar.
Duyurudan sonra devamını okuyun
ComfyUI, yerel AI görüntüsü ve video oluşturmaya yönelik açık kaynaklı ve popüler bir araç setidir. Kullanımı daha kolay olan Amuse'a alternatif olabilir. Ancak güvenlik nedeniyle sunuculara yalnızca LAN veya VPN üzerinden erişilebilmeli ve internete açık olmamalıdır.
(Bilmiyorum)
Bir yanıt yazın