ComfyUI 社群廣受歡迎的插件Impact-Pack 近日被發現存在嚴重安全漏洞,其依賴的Ultralytics 套件(版本8.3.41 和8.3.42)被植入了加密貨幣挖礦病毒。該病毒在後台運行,消耗大量系統資源,並自動刪除自身檔案以逃避偵測。由於Impact-Pack 的普及性,許多用戶可能已受到影響,這次事件引發了廣泛關注,也再次提醒用戶關注軟體安全。
近日,ComfyUI社群廣受歡迎的外掛程式Impact-Pack 被曝存在嚴重安全漏洞,導致其依賴的Ultralytics 套件(版本8.3.44和8.3.42)被駭客植入了加密貨幣挖礦病毒。
由於Impact-Pack 是幾乎每位用戶都會安裝的插件,許多人可能因此受到了影響。病毒透過惡意修改的Ultralytics 套件自動下載並執行惡意程序,連接到可疑的礦池位址(connect.consrensys.com:8080)進行挖礦操作。病毒在後台悄無聲息地運行,嚴重佔用系統資源,並會自動刪除執行檔以逃避偵測。
目前,尚不清楚駭客是如何攻擊的,也沒有明確證據表明其他包是否也受到相同的攻擊,一些開發者懷疑這起事件可能與內部人員洩露有關。幸運的是,這次漏洞僅涉及PyPI(Python 官方軟體包倉庫)上的Ultralytics 套件。使用者可以選擇透過GitHub 直接安裝該依賴,或使用已修復的8.3.43 版本,以確保系統安全。
鑑於該漏洞的隱蔽性,官方已建議所有受影響的用戶立即卸載有問題的插件和依賴包,並進行系統安全掃描以確保惡意檔案已清除。此外,用戶應謹慎選擇插件來源,並及時關注官方更新,避免再次遭受類似攻擊。
網址|:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette
這次事件再次警告我們,在安裝和使用軟體時務必謹慎,選擇可靠的軟體來源,並及時更新軟體版本,以最大限度地降低安全風險。 希望ComfyUI 社群能夠盡快修復漏洞,並加強安全防護措施,確保用戶的安全。