Небольшой шухер в сообществе ComfyUI. В некоторых версиях пакета ultralytics pip был обнаружен майнер криптовалют. Оригинал тревоги здесь.
Кто может пострадать?
Люди, установившие версии v8.3.41 и v8.3.42 пакета ultralytics pip на Mac и Linux. Windows пока не затронута. Анализ взломанного пакета ultralytics показал, что майнер загружается только на Mac и Linux. Скорее всего, это связано с тем, что атака была направлена на серверы, а не на обычных пользователей.
Ultralytics не является основной зависимостью ComfyUI, но он является зависимостью некоторых очень популярных пользовательских узлов, таких как ComfyUI-Impact-Pack. Одна из взломанных версий могла установиться, если вы установили новую версию некоторых узлов, которые от нее зависят. Простое обновление пользовательских узлов обычно не приводит к обновлению зависимостей, поэтому, скорее всего, пострадали только те, кто установил совершенно новую версию в то время, когда взломанные пакеты находились в рабочем состоянии.
Вы можете проверить, затронуты ли вы, обновив менеджер ComfyUI, чтобы проверить наличие этих зависимостей и предупредить себя, или вручную проверив, установлена ли у вас версия 8.3.41 или 8.3.42 с помощью: pip show ultralytics
Чем это плохо?
Скомпрометированный ultralytics загружает двоичный файл (криптомайнер) на Mac и Linux в /tmp/ultralytics_runner и запускает его на выполнение.
Как от него избавиться самому?
Убейте процесс /tmp/ultralytics_runner, удалите файл и убедитесь, что вы удалили все скомпрометированные версии пакета ultralytics. Низкая сложность этой атаки заставляет предположить, что это все, что вам нужно сделать, чтобы избавиться от нее.
Как реагирует разработчик?
Менеджер ComfyUI был обновлен, чтобы отмечать и предупреждать пользователя о наличии скомпрометированной версии пакета. Он также автоматически устанавливает версию ultralytics 8.3.40, которая была подтверждена как безопасная.
Внимание: если вы установили ultralytics вручную, то Менеджер вам не поможет. Если у вас выбран уровень безопасности Менеджера как "leak", то это также не поможет.
В будущем планируется внедрить в наше десктопное приложение песочницу, чтобы лучше защититься от подобных атак. Одно из решений по созданию песочницы, которое мы рассматриваем: https://learn.microsoft.com/en-us/windows/win32/secauthz/app-isolation-overview.
Такие дела.
No comments:
Post a Comment
А что вы думаете по этому поводу?