ComfyUI 社区广受欢迎的插件 Impact-Pack 近日被发现存在严重安全漏洞,其依赖的 Ultralytics 包(版本 8.3.41 和 8.3.42)被植入了加密货币挖矿病毒。该病毒在后台运行,消耗大量系统资源,并自动删除自身文件以逃避检测。由于 Impact-Pack 的普及性,许多用户可能已受到影响,此次事件引发了广泛关注,也再次提醒用户关注软件安全。
近日,ComfyUI社区广受欢迎的插件 Impact-Pack 被曝存在严重安全漏洞,导致其依赖的 Ultralytics 包(版本8.3.44和8.3.42)被黑客植入了加密货币挖矿病毒。
由于 Impact-Pack 是几乎每位用户都会安装的插件,许多人可能因此受到了影响。病毒通过恶意修改的 Ultralytics 包自动下载并执行恶意程序,连接到可疑的矿池地址(connect.consrensys.com:8080)进行挖矿操作。病毒在后台悄无声息地运行,严重占用系统资源,并会自动删除执行文件以逃避检测。
目前,尚不清楚黑客是如何攻击的,也没有明确证据表明其他包是否也受到相同的攻击,一些开发者怀疑此次事件可能与内部人员泄露有关。幸运的是,这次漏洞仅涉及 PyPI(Python 官方软件包仓库)上的 Ultralytics 包。用户可以选择通过 GitHub 直接安装该依赖,或者使用已修复的 8.3.43 版本,以确保系统安全。
鉴于该漏洞的隐蔽性,官方已建议所有受影响的用户立即卸载有问题的插件和依赖包,并进行系统安全扫描以确保恶意文件被清除。此外,用户应谨慎选择插件来源,并及时关注官方更新,避免再次遭受类似攻击。
地址|:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette
此次事件再次警示我们,在安装和使用软件时务必谨慎,选择可靠的软件来源,并及时更新软件版本,以最大限度地降低安全风险。 希望 ComfyUI 社区能够尽快修复漏洞,并加强安全防护措施,保障用户的安全。