Ponad 1000 publicznie dostępnych instancji ComfyUI celem botnetu do cryptominingu - Security Bez Tabu

Ponad 1000 publicznie dostępnych instancji ComfyUI celem botnetu do cryptominingu

Cybersecurity news

Wprowadzenie do problemu / definicja

ComfyUI to popularna platforma do budowy workflow opartych o modele generatywne, rozwijana w modelu rozszerzeń i tzw. custom nodes. Taka architektura zwiększa elastyczność środowiska, ale jednocześnie znacząco poszerza powierzchnię ataku. Najnowsze ustalenia pokazują, że publicznie wystawione instancje ComfyUI są aktywnie wykorzystywane przez operatorów botnetu do zdalnego uruchamiania kodu, instalacji koparek kryptowalut oraz tworzenia infrastruktury proxy.

W skrócie

Badacze zaobserwowali aktywną kampanię wymierzoną w internetowo dostępne instancje ComfyUI. Atakujący skanują zakresy adresów IP w chmurach publicznych, identyfikują podatne wdrożenia i wykorzystują niebezpieczne lub błędnie zabezpieczone custom nodes do osiągnięcia zdalnego wykonania kodu.

  • Celem kampanii są publicznie dostępne instancje ComfyUI.
  • Wektor wejścia opiera się na podatnych lub ryzykownych custom nodes.
  • Po skutecznym ataku wdrażane są komponenty do kopania Monero z użyciem XMRig.
  • Na przejętych hostach uruchamiane są również dodatkowe mechanizmy monetyzacji i elementy infrastruktury proxy.
  • Powierzchnia ataku obejmuje ponad tysiąc publicznie dostępnych instancji.

Kontekst / historia

ComfyUI zdobyło popularność jako elastyczne narzędzie do budowania graficznych pipeline’ów dla generatywnej AI. Kluczową cechą platformy jest obsługa niestandardowych węzłów, które mogą rozszerzać zarówno backend, jak i frontend aplikacji. W praktyce oznacza to, że bezpieczeństwo całego środowiska zależy nie tylko od rdzenia aplikacji, ale również od jakości oraz modelu zaufania wobec zewnętrznych dodatków.

Już wcześniej badacze bezpieczeństwa wskazywali, że ekosystem custom nodes może prowadzić do pełnego przejęcia serwera. Problem wynika między innymi z tego, że wybrane rozszerzenia przyjmują dane wejściowe umożliwiające uruchamianie kodu Pythona lub modyfikację sposobu instalacji pakietów. W środowiskach wystawionych bez odpowiedniej kontroli dostępu taka funkcjonalność staje się praktycznym wektorem RCE.

Obecna kampania wpisuje się w szerszy trend automatycznego wyszukiwania słabo zabezpieczonych usług internetowych i przekształcania ich w źródło przychodu. W tym modelu operatorzy nie muszą uzyskiwać trwałego, ręcznego dostępu do organizacji. Wystarczy masowe odnajdywanie podatnych usług, wdrażanie złośliwych komponentów i utrzymywanie infekcji tak długo, jak to możliwe.

Analiza techniczna

Z ustaleń badaczy wynika, że kampania opiera się na wyspecjalizowanych skanerach napisanych w Pythonie. Ich zadaniem jest przeszukiwanie publicznych zakresów IP, identyfikacja instancji ComfyUI oraz sprawdzanie, czy na serwerze zainstalowano podatne lub niebezpieczne rodziny custom nodes. Jeżeli odpowiedni węzeł jest obecny, atakujący wykorzystuje go do dostarczenia własnego ładunku wykonywalnego.

Szczególnie istotne jest to, że niektóre custom nodes pozwalają przekazywać surowy kod Pythona jako dane wejściowe i wykonywać go po stronie serwera. W praktyce zamienia to funkcję workflow w kanał egzekucji poleceń. Jeżeli na celu nie ma już podatnego komponentu, operatorzy sprawdzają obecność ComfyUI-Manager. Ten moduł upraszcza instalację nowych rozszerzeń i w określonych scenariuszach może zostać wykorzystany do doinstalowania złośliwego lub podatnego pakietu, a następnie ponowienia próby eksploatacji.

Mechanizm działania kampanii wskazuje na wysoki poziom automatyzacji. Po uzyskaniu RCE wdrażany jest skrypt powłoki odpowiedzialny za przygotowanie hosta do dalszego wykorzystania i monetyzacji.

  • Wyłączanie lub ograniczanie artefaktów utrudniających ukrycie aktywności.
  • Zatrzymywanie konkurencyjnych minerów.
  • Uruchamianie procesów kopiących kryptowaluty.
  • Ustanawianie mechanizmów trwałości.
  • Przygotowanie hosta do dalszego wykorzystania jako węzeł proxy.

W opisywanej operacji wykorzystywano między innymi XMRig do kopania Monero oraz lolMiner do dodatkowej monetyzacji. Badacze opisali również użycie technik ukrywania procesu z pomocą mechanizmów takich jak LD_PRELOAD oraz utrwalania infekcji poprzez ponowne pobieranie skryptu w regularnych odstępach czasu. Dodatkowo złośliwe pliki kopiowano do wielu lokalizacji zapasowych, a część artefaktów blokowano przed usunięciem przy użyciu atrybutów plików, co utrudniało remediację.

Ważnym elementem operacji było także czyszczenie historii promptów ComfyUI po skutecznym wykorzystaniu podatności, co miało ograniczyć widoczność śladów ataku. Zainfekowane hosty były następnie zarządzane centralnie z panelu C2 opartego o Flask, umożliwiającego przesyłanie poleceń i wdrażanie kolejnych komponentów. Jednym z nich był Hysteria V2, co sugeruje dodatkowy cel w postaci sprzedaży lub wykorzystania przejętych maszyn jako serwerów proxy.

Konsekwencje / ryzyko

Ryzyko dla organizacji korzystających z ComfyUI jest wielowarstwowe. Najbardziej oczywistym skutkiem jest cryptojacking, czyli nieautoryzowane wykorzystanie CPU i GPU do kopania kryptowalut. Prowadzi to do wzrostu kosztów energii i usług chmurowych, degradacji wydajności oraz skrócenia żywotności zasobów sprzętowych.

Znacznie poważniejsze są jednak skutki wtórne. Host przejęty przez operatora botnetu może zostać użyty jako:

  • punkt wyjścia do dalszej penetracji środowiska,
  • węzeł proxy do ukrywania ruchu przestępczego,
  • element infrastruktury C2 lub DDoS,
  • platforma do wdrożenia kolejnych ładunków malware.

W środowiskach chmurowych i laboratoryjnych instancje ComfyUI bywają uruchamiane szybko, bez segmentacji i bez reverse proxy z uwierzytelnianiem. To zwiększa prawdopodobieństwo ekspozycji usług administracyjnych bez jakiejkolwiek kontroli dostępu. Dodatkowym problemem jest niski próg wejścia po stronie atakującego: jeśli platforma akceptuje workflow lub dodatki od osób trzecich, podatne custom nodes mogą stać się naturalnym punktem wejścia.

Rekomendacje

Podstawowym działaniem obronnym jest natychmiastowe wyeliminowanie publicznej ekspozycji ComfyUI wszędzie tam, gdzie nie jest ona absolutnie niezbędna. Usługa nie powinna być dostępna bezpośrednio z internetu. Zalecane jest umieszczenie jej za reverse proxy z silnym uwierzytelnianiem, kontrolą dostępu oraz filtrowaniem źródeł ruchu.

Organizacje powinny również wdrożyć zestaw działań ograniczających ryzyko kompromitacji i utrudniających utrzymanie infekcji.

  • Przeprowadzić inwentaryzację wszystkich instancji ComfyUI i sprawdzić ich dostępność z internetu.
  • Zidentyfikować zainstalowane custom nodes oraz usunąć rozszerzenia o nieznanym pochodzeniu.
  • Ograniczyć lub całkowicie zablokować możliwość instalacji nowych node’ów z poziomu interfejsu.
  • Monitorować procesy XMRig, lolMiner i nietypowe połączenia wychodzące.
  • Sprawdzać obecność mechanizmów trwałości, zadań cyklicznych i nietypowych atrybutów plików.
  • Wdrożyć segmentację sieci, aby środowisko AI nie miało nadmiernych uprawnień do innych systemów.
  • Przeanalizować logi systemowe, historię procesów i zmiany w katalogach custom_nodes.
  • Traktować importowane workflow JSON i zewnętrzne dodatki jako niezaufane artefakty.

W praktyce bezpieczna eksploatacja ComfyUI wymaga takiego samego podejścia jak w przypadku innych platform pluginowych: minimalnego zaufania, przeglądu łańcucha dostaw oraz kontroli uprawnień wykonawczych. Jeżeli istnieje podejrzenie kompromitacji, samo usunięcie minera często nie wystarcza. Należy założyć możliwość pełnego przejęcia hosta i przeprowadzić pełne dochodzenie powłamaniowe, a w razie potrzeby odbudować system z zaufanego obrazu.

Podsumowanie

Kampania wymierzona w publicznie dostępne instancje ComfyUI pokazuje, że narzędzia AI stają się pełnoprawnym celem operacji malware i cryptojackingu. Kluczowym problemem nie jest wyłącznie pojedyncza luka, lecz model rozszerzeń umożliwiający wykonywanie niebezpiecznych operacji po stronie serwera. W połączeniu z błędną ekspozycją usługi do internetu daje to atakującym prostą drogę do RCE, trwałości i monetyzacji przejętych zasobów. Dla zespołów bezpieczeństwa oznacza to konieczność objęcia platform AI tymi samymi rygorami ochrony, które od lat stosuje się wobec paneli administracyjnych, serwerów aplikacyjnych i środowisk DevOps.

Źródła

  • The Hacker News – Over 1,000 Exposed ComfyUI Instances Targeted in Cryptomining Botnet Campaign — https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html
  • Snyk Labs – Don’t Get Too Comfortable: Hacking ComfyUI Through Custom Nodes — https://labs.snyk.io/resources/hacking-comfyui-through-custom-nodes/
  • ComfyUI Documentation – Custom Nodes — https://docs.comfy.org/development/core-concepts/custom-nodes
  • GitHub – ComfyUI-Manager — https://github.com/Comfy-Org/ComfyUI-Manager