تشهد الساحة الإلكترونية حملة نشطة ومنتظمة لشبكة بوتات ضارة تستهدف النسخ المكشوفة على الإنترنت من برنامج ComfyUI، وهو واجهة مستخدم رسومية شهيرة لإطار عمل توليد الصور بالذكاء الاصطناعي Stable Diffusion. يهدف المهاجمون إلى اختراق هذه الأنظمة وضمها إلى شبكة بوتات ذات غرض مزدوج: التعدين غير المشروع للعملات المشفرة، والعمل كعقد وكيلة (بروكسي) لتوجيه حركة مرور ضارة أخرى. وقد رصد الباحثون الأمنيون نجاح الحملة بالفعل في اختراق أكثر من ألف خادم ضعيف، مما يحول موارد حاسوبية قيّمة – غالباً ما تكون مستضافة على بنى تحتية سحابية باهظة الثمن – إلى مصدر دخل للمجموعة الخبيثة.
تعتمد منهجية الهجوم على أتمتة عالية وعدوانية في المسح. يقوم المهاجمون بتشغيل ماسح ضوئي مبرمج بلغة Python خصيصاً لهذا الغرض، يجتاح باستمرار نطاقات عناوين IP التابعة لمزودي الخدمات السحابية الكبرى. صُمم هذا الماسح للتعرف تحديداً على نسخ ComfyUI المتاحة للعامة. وعند اكتشاف هدف، يتحقق الماسح مما إذا كان النظام قد أصبح جزءاً من شبكة البوتات بالفعل أو إذا كان قد تم اختراقه من قبل مجموعة منافسة للتعدين الخفي. إذا كان الخادم نظيفاً وضعيفاً، تنتقل العملية تلقائياً إلى مرحلة الاستغلال.
يستغل الهجوم ثغرة أمنية حرجة في أداة ComfyUI-Manager، وهي إضافة شائعة لإدارة العُقد المخصصة وسير العمل داخل بيئة ComfyUI. من خلال استغلال هذا الخلل الأمني، يتمكن المهاجمون من تحقيق تنفيذ لأوامر عن بُعد (RCE) دون الحاجة إلى مصادقة. وهذا يسمح لنصوصهم البرمجية الآلية بتنزيل وتنفيذ حمولة ضارة مباشرة على الخادم. الحمولة الأساسية هي برنامج لتعدين العملات المشفرة، عادةً ما يكون أحد متغيرات برنامج XMRig المُهيأ لتعدين عملة Monero (XMR)، وهي عملة مشفرة تركز على الخصوصية ويُفضلها مجرمو الإنترنت بسبب صعوبة تتبع معاملاتها.
بالإضافة إلى التعدين الخفي، يتم تسليح العُقد المخترقة لتشكيل شبكة بوتات وكيلة، تُعرف أيضاً بشبكة البروكسي السكنية. يمكن تأجير هذه الشبكة لمجرمين آخرين لإخفاء هوية مجموعة واسعة من الأنشطة الضارة، بما في ذلك هجمات حشو بيانات الاعتماد، والاحتيال في الإعلانات، وجمع البيانات من الويب، وتجاوز القيود الجغرافية. تجعل استراتيجية التحصيل المالي المزدوجة هذه – عائدات التعدين المباشرة بالإضافة إلى الدخل من بيع وصول البروكسي – الحملة مربحة بشكل خاص ومستمرة. يُحث مسؤولو النظام والمطورون الذين يستخدمون ComfyUI على التأكد فوراً من أن نسخهم غير مكشوفة على الإنترنت العام دون مصادقة قوية، وتطبيق جميع التحديثات الأمنية لبرنامج ComfyUI وأداة ComfyUI-Manager، ومراقبة مواردهم السحابية بحثاً عن ارتفاعات غير عادية في استخدام وحدة المعالجة المركزية/وحدة معالجة الرسومات أو حركة مرور شبكية غير متوقعة.
