FOXreport.gr

Σε εξέλιξη επιθέσεις botnet σε χίλιες εγκαταστάσεις ComfyUI για εξόρυξη κρυπτονομισμάτων

Εικόνα: blogger.googleusercontent.com

Μια ενεργή εκστρατεία κυβερνοεπιθέσεων στοχεύει εκτεθειμένες στο διαδίκτυο εγκαταστάσεις του ComfyUI, της δημοφιλούς πλατφόρμας Stable Diffusion, με σκοπό την ένταξή τους σε ένα δίκτυο botnet για εξόρυξη κρυπτονομισμάτων και παροχή υπηρεσιών proxy.

Σύμφωνα με αναφορά του ερευνητή ασφαλείας της Censys, Mark Ellzey, που δημοσιεύθηκε τη Δευτέρα 6 Απριλίου 2026, ένας ειδικά σχεδιασμένος σαρωτής σε γλώσσα Python σαρώνει συνεχώς εύρη διευθύνσεων IP στο υπολογιστικό νέφος για τον εντοπισμό ευάλωτων στόχων.

Η επίθεση εκμεταλλεύεται μια εσφαλμένη ρύθμιση που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα μέσω προσαρμοσμένων κόμβων σε μη πιστοποιημένες εγκαταστάσεις.

Η μέθοδος διείσδυσης και τα κακόβουλα εργαλεία

Οι επιτιθέμενοι χρησιμοποιούν εργαλεία αναγνώρισης για να εντοπίσουν εγκαταστάσεις ComfyUI που διαθέτουν το «ComfyUI-Manager». Εάν δεν βρεθεί κάποιος ήδη εκμεταλλεύσιμος κόμβος, ο σαρωτής εγκαθιστά αυτόματα ένα ευάλωτο πακέτο, όπως το «ComfyUI-Shell-Executor».

Αυτή η τεχνική επιτρέπει την απευθείας εκτέλεση κώδικα Python χωρίς καμία απαίτηση ταυτοποίησης. Μόλις επιτευχθεί η πρόσβαση, κατεβαίνει ένα σενάριο κελύφους με το όνομα «ghost.sh», το οποίο απενεργοποιεί το ιστορικό εντολών, τερματίζει τυχόν ανταγωνιστικά προγράμματα εξόρυξης και ξεκινά τη διαδικασία mining για τα κρυπτονομίσματα Monero και Conflux.

Στρατηγικές επιβίωσης και έλεγχος των μολυσμένων συστημάτων

Για να διασφαλιστεί η παραμονή του κακόβουλου λογισμικού στο σύστημα, χρησιμοποιούνται μηχανισμοί επιμονής που επανεκτελούν το exploit κάθε φορά που ξεκινά το ComfyUI ή κάθε έξι ώρες.

Το πρόγραμμα εξόρυξης αντιγράφεται σε πολλαπλές τοποθεσίες και κλειδώνεται με την εντολή «chattr +i», εμποδίζοντας τη διαγραφή ή την τροποποίησή του ακόμη και από τον χρήστη root.

Επιπλέον, οι επιτιθέμενοι έχουν αναπτύξει κώδικα που στοχεύει το ανταγωνιστικό botnet «Hisana», ανακατευθύνοντας τα κέρδη του στη δική τους διεύθυνση πορτοφολιού και καταλαμβάνοντας τη θύρα επικοινωνίας του.

Η ευρύτερη απειλή και η σημασία της ασφάλειας

Αν και ο αριθμός των χιλίων εγκαταστάσεων μπορεί να φαίνεται μικρός, είναι αρκετός για την επίτευξη σημαντικού οικονομικού κέρδους. Η υποδομή που χρησιμοποιείται συνδέεται επίσης με ευρύτερες εκστρατείες που στοχεύουν εκτεθειμένους διακομιστές βάσεων δεδομένων Redis.

Η έξαρση των δραστηριοτήτων botnet κατά το τελευταίο έτος, που ενισχύεται από τη διαθεσιμότητα πηγαίου κώδικα όπως αυτός του Mirai, υπογραμμίζει την ανάγκη για άμεση θωράκιση των υπηρεσιών που είναι εκτεθειμένες στο διαδίκτυο και την εφαρμογή αυστηρών πρωτοκόλλων ταυτοποίησης.

Exit mobile version