最近,ComfyUI社区中备受青睐的插件 Impact-Pack 被揭露存在重大的安全缺陷,这导致其所依赖的 Ultralytics 包(版本8.3.41和8.3.42)遭到黑客入侵,并被植入了加密货币挖矿病毒。

鉴于 Impact-Pack 几乎是每位用户必装的插件,可能有大量用户因此遭受影响。恶意软件通过篡改的 Ultralytics 包自动下载并运行恶意代码,连接至一个可疑的挖矿池地址(connect.consrensys.com:8080)进行挖矿活动。该病毒在后台秘密运作,大量消耗系统资源,并具备自动删除执行文件以规避检测的能力。

QQ20241206-095202.png

目前,关于黑客的攻击途径尚不明确,也没有证据显示其他包是否遭遇了类似的攻击。部分开发者推测,这次事件可能与内部信息泄露有关。值得庆幸的是,这一漏洞仅影响 PyPI(Python 官方软件包仓库)上的 Ultralytics 包。用户现在可以通过 GitHub 直接安装该依赖,或者升级到已修复的 8.3.43 版本,从而保障系统安全。

考虑到漏洞的隐蔽性,官方建议所有潜在受影响用户立即移除有问题的插件和依赖包,并对系统进行安全扫描,以确保彻底清除恶意文件。同时,用户在选择插件时应保持警惕,并密切关注官方的更新动态,防止再次遭受此类攻击。

详情请访问:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette