Исследователи фиксируют активную кампанию, нацеленную на публично доступные инстансы ComfyUI — популярного веб-интерфейса для Stable Diffusion. Злоумышленники используют ошибочную конфигурацию и небезопасные custom nodes, чтобы получить удалённое выполнение кода, установить криптомайнеры и подключить узлы к ботнету, одновременно занимающемуся майнингом и продажей прокси-доступа.
Как ботнет эксплуатирует уязвимые ComfyUI
Механизм сканирования облачных IP-адресов
По данным компании Censys, в кампании задействован специализированный Python-сканер, непрерывно перебирающий крупные диапазоны IP-адресов облачных провайдеров в поисках открытых веб-интерфейсов ComfyUI. Как только обнаруживается доступный без аутентификации инстанс, инструмент проверяет наличие уязвимых custom nodes и компонента ComfyUI-Manager.
По оценкам сервисов управления внешней поверхностью атак, в сети доступно более 1000 публичных инстансов ComfyUI. Это относительно небольшое число, но для киберпреступников этого достаточно, чтобы вести масштабные оппортунистические кампании и стабильно извлекать прибыль за счёт криптомайнинга и прокси.
Злоупотребление custom nodes и ComfyUI-Manager
Ключевая уязвимость связана с реализацией некоторых custom nodes в ComfyUI. Отдельные узлы принимают на вход «сырой» Python-код и выполняют его без какой-либо аутентификации. В результате веб-интерфейс для генерации изображений превращается в удобный канал для доставки произвольных вредоносных Python-пейлоадов.
Сканер перебирает набор известных семейств custom nodes, поддерживающих произвольное выполнение кода. Если ни один из целевых узлов не найден, инструмент проверяет наличие ComfyUI-Manager. При его наличии злоумышленники самостоятельно устанавливают уязвимый пакет и повторяют попытку эксплуатации.
Одним из таких пакетов является «ComfyUI-Shell-Executor» — заведомо вредоносный модуль, созданный оператором ботнета. Он загружает следующий этап атаки — shell-скрипт ghost.sh с сервера, размещённого на «bulletproof»-хостинге (IP 77.110.96[.]200, провайдер Aeza Group). После успешного выполнения кода сканер очищает историю запросов ComfyUI, затрудняя форензику.
Цепочка атаки: от Python-кода до криптомайнеров Monero и Conflux
Скрипт ghost.sh выполняет полный набор действий по закреплению в системе. Он отключает историю команд оболочки, завершает процессы конкурирующих майнеров и разворачивает собственную инфраструктуру майнинга. Злоумышленники добывают Monero через XMRig и Conflux через lolMiner, что позволяет диверсифицировать доход.
Для скрытности и живучести используется несколько техник:
1. LD_PRELOAD и скрытый watchdog. Вредоносный процесс внедряет собственную библиотеку через LD_PRELOAD, маскируя watchdog, который следит за работой майнера и при необходимости перезапускает его. Это усложняет обнаружение через стандартные утилиты мониторинга.
2. Множественное копирование бинарников. Криптомайнер копируется в несколько каталогов, чтобы пережить частичную очистку системы: даже при удалении основной директории его можно запустить из резервного расположения.
3. Защита от удаления через chattr +i. Файлы майнера помечаются атрибутом неизменяемости с помощью команды chattr +i. Это блокирует удаление, модификацию или переименование даже от имени root, если администратор не снимет атрибут вручную.
В обновлённой версии сканера добавлена устойчивость к перезагрузкам: ghost.sh перекачивается каждые шесть часов, а схема эксплуатации повторно запускается при каждом старте ComfyUI.
Ботнет Hysteria V2 и борьба с конкурентами
Компрометированные хосты управляются через панель C2 на базе Flask, позволяющую оператору централизованно выполнять команды и загружать дополнительные пейлоады. Среди них — скрипт установки Hysteria V2, современного инструмента для создания высокопроизводительных прокси-туннелей. Вероятная цель — монетизация узлов как анонимных прокси, помимо дохода от майнинга.
Интересной деталью кампании является наличие кода, нацеленного на конкурирующий ботнет «Hisana». Вместо простого завершения его процессов скрипт ghost.sh переписывает конфигурацию Hisana, перенаправляя добываемую криптовалюту на кошелёк оператора текущего ботнета. Дополнительно он занимает управляющий порт Hisana (10808) «пустым» Python-слушателем, блокируя перезапуск конкурента.
Часть более широкой кампании против открытых сервисов
Анализ истории команд на сервере злоумышленников выявил попытку SSH-входа под root на IP 120.241.40[.]237, связанный с действующей self‑propagating кампанией против открытых Redis-серверов. Это указывает, что атаки на ComfyUI — не изолированный эпизод, а фрагмент более широкой экосистемы вредоносной активности против различных открытых сервисов.
По данным Pulsedive со ссылкой на отчёты Spamhaus, активность ботнетов в 2025 году существенно выросла: на 26% в период январь–июнь 2025 года и ещё на 24% во второй половине года. Рост объясняется, в том числе, свободной доступностью исходного кода известных ботнетов вроде Mirai. Многочисленные форки и вариации Mirai участвуют в крупнейших по объёму DDoS-атаках, а новые кампании — такие как атаки на ComfyUI — дополняют картину, смещая фокус к облачным и AI‑сервисам.
Ситуация вокруг ComfyUI показывает, что даже вспомогательные интерфейсы для ИИ-моделей быстро становятся привлекательной целью для киберпреступников. Открытый в интернет веб-интерфейс без аутентификации, custom nodes с возможностью выполнения произвольного Python-кода и незащищённые менеджеры пакетов превращают инфраструктуру генерации изображений в удобную точку входа. Чтобы снизить риски, владельцам инстансов ComfyUI имеет смысл немедленно: ограничить доступ (VPN, IP‑фильтрация, обратный прокси с авторизацией), отключить или жёстко ограничить опасные custom nodes, регулярно проверять наличие подозрительных пакетов вроде «ComfyUI-Shell-Executor», скриптов ghost.sh, майнеров XMRig и lolMiner, а также искать в системе файлы с атрибутом chattr +i. Проактивный аудит экспонированных сервисов в облаке и постоянный мониторинг активности ботнетов становятся критически важными для любой организации, использующей AI‑инструменты в продакшене.
