Uma campanha ativa está explorando instâncias do ComfyUI expostas à internet para recrutá-las para uma botnet voltada à criptomineração e ao uso como infraestrutura proxy.
A operação tem como alvo a plataforma popular no ecossistema de Stable Diffusion e, segundo os dados citados no alerta, há mais de mil instâncias acessíveis publicamente.
A análise aponta que os atacantes usam um scanner em Python criado especificamente para varrer grandes faixas de IP de provedores de nuvem. Quando encontra um alvo vulnerável, a ferramenta tenta instalar nós maliciosos por meio do ComfyUI-Manager, caso ainda não exista um componente explorável no ambiente.
No centro do problema está uma configuração insegura que permite execução remota de código em implantações sem autenticação, a partir do mecanismo de custom nodes. Isso transforma interfaces públicas do ComfyUI em alvos fáceis para comprometimento automatizado e em escala.
Depois da exploração, os sistemas comprometidos passam a minerar criptomoedas como Monero com XMRig e Conflux com lolMiner. Além disso, os dispositivos também são incorporados a uma botnet baseada em Hysteria V2, com gerenciamento centralizado por um painel de comando e controle construído em Flask.
A principal medida de mitigação é retirar o ComfyUI da internet pública ou protegê-lo com autenticação forte, além de revisar a instalação de custom nodes e extensões gerenciadas pelo ComfyUI-Manager.
