近日,ComfyUI社区广受欢迎的插件 Impact-Pack 被曝存在严重安全漏洞,导致其依赖的 Ultralytics 包(版本8.3.41和8.3.42)被黑客植入了加密货币挖矿病毒。
由于 Impact-Pack 是几乎每位用户都会安装的插件,许多人可能因此受到了影响。病毒通过恶意修改的 Ultralytics 包自动下载并执行恶意程序,连接到可疑的矿池地址(connect.consrensys.com:8080)进行挖矿操作。病毒在后台悄无声息地运行,严重占用系统资源,并会自动删除执行文件以逃避检测。
目前,尚不清楚黑客是如何攻击的,也没有明确证据表明其他包是否也受到相同的攻击,一些开发者怀疑此次事件可能与内部人员泄露有关。幸运的是,这次漏洞仅涉及 PyPI(Python 官方软件包仓库)上的 Ultralytics 包。用户可以选择通过 GitHub 直接安装该依赖,或者使用已修复的 8.3.43 版本,以确保系统安全。
鉴于该漏洞的隐蔽性,官方已建议所有受影响的用户立即卸载有问题的插件和依赖包,并进行系统安全扫描以确保恶意文件被清除。此外,用户应谨慎选择插件来源,并及时关注官方更新,避免再次遭受类似攻击。
地址|:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette
