- Campanha explora instâncias do ComfyUI expostas na internet para formar botnet voltada à mineração e ao uso como proxy.
- Alvo principal é a plataforma popular no ecossistema Stable Diffusion, com mais de mil instâncias publicamente acessíveis, conforme alerta.
- Um scanner em Python varre faixas de IP de provedores de nuvem e instala nós maliciosos via ComfyUI-Manager, se houver componente explorável.
- O problema central é uma configuração insegura que permite execução remota de código em implantações sem autenticação, via mecanismos de custom nodes.
- Dispositivos comprometidos passam a minerar Monero com XMRig e Conflux com lolMiner e integram a botnet Hysteria V2, gerida por um painel em Flask; mitigação envolve retirar o ComfyUI da internet pública ou protegê-lo com autenticação forte e revisar custom nodes/extensões.
Uma campanha ativa está explorando instâncias do ComfyUI expostas na internet para recrutá-las em uma botnet. O objetivo é realizar mineração de criptomoedas e usar as máquinas como infraestrutura proxy, segundo o alerta analisado.
A operação mira a plataforma popular no ecossistema do Stable Diffusion. Dados indicam mais de mil instâncias publicamente acessíveis, conforme a fonte do estudo. Um scanner em Python varre faixas de IP de provedores de nuvem em busca de alvos vulneráveis.
Quando encontra uma vítima, a ferramenta tenta instalar nós maliciosos via ComfyUI-Manager, caso ainda não haja um componente explorável no ambiente. O problema central é uma configuração insegura que permite execução remota de código em implantações sem autenticação.
Essa vulnerabilidade transforma interfaces públicas do ComfyUI em alvos fáceis para comprometimento automático e em larga escala. Após a exploração, os sistemas passam a minerar Monero com XMRig e Conflux com lolMiner.
Além da mineração, os dispositivos são incorporados a uma botnet baseada em Hysteria V2, com gerenciamento centralizado por um painel de comando e controle construído em Flask. A principal medida de mitigação é retirar o ComfyUI da rede pública ou protegê-lo com autenticação forte.
Riscos e medidas de proteção
Recomenda-se revisar a instalação de custom nodes e extensões gerenciadas pelo ComfyUI-Manager. Profissionais de segurança destacam a necessidade de restringir o acesso, aplicar autenticação robusta e monitorar alterações não autorizadas. Fontes oficiais apontam a importância de atualizar componentes e desativar serviços expostos desnecessários.
Entre na conversa da comunidade