تعرضت أكثر من 1000 منصة لتوليد الصور ComfyUI لهجوم خبيث يستهدف دمجها في شبكات روبوتية لتعدين العملات الرقمية. تعرف على تفاصيل هذا الاختراق الخطير الذي يهدد خوادم الذكاء الاصطناعي السحابية.
كيف يتم اختراق خوادم ComfyUI المفتوحة؟
تستهدف حملة سيبرانية نشطة ومستمرة الخوادم المتصلة بالإنترنت والتي تشغل منصة ComfyUI الشهيرة. يقوم المهاجمون بتجنيد هذه الأجهزة ضمن شبكات "بوت نت" معقدة لتنفيذ عمليات التعدين وتوجيه مسارات البروكسي دون علم المستخدمين.
وفقاً لمتابعة خبراء الأمن الرقمي في تيكبامين، يستخدم القراصنة ماسحاً ضوئياً مبرمجاً بلغة بايثون للبحث المستمر في نطاقات بروتوكول الإنترنت السحابية الرئيسية. يهدف هذا الفحص الدقيق إلى العثور على أهداف ضعيفة لتثبيت العقد الخبيثة تلقائياً.
يعتمد الهجوم بشكل أساسي على استغلال خطأ فادح في التكوين يسمح بتنفيذ تعليمات برمجية عن بُعد. يحدث هذا في الإصدارات غير المصادق عليها من خلال استغلال الثغرات الموجودة في العقد المخصصة (Custom Nodes) للمنصة.
ما هي أهداف هجوم التعدين الخبيث؟
بمجرد نجاح الاختراق وتجاوز الحماية، يتم إضافة المضيفين المخترقين إلى عملية تعدين ضخمة ومنسقة. يتم إدارة هذه العمليات بشكل مركزي لضمان استغلال موارد الأجهزة وتحقيق أقصى قدر من الأرباح غير المشروعة.
تشمل أهداف وعمليات الشبكة الخبيثة التفاصيل التقنية التالية:
- تعدين عملة مونيرو: استخراج عملة Monero الرقمية المشفرة باستخدام أداة XMRig المخصصة لهذا الغرض.
- تعدين عملة كونفلكس: استخراج عملة Conflux عبر استخدام برنامج lolMiner المتقدم لعمليات التعدين.
- الشبكات الروبوتية: ضم الأجهزة المصابة إلى شبكة Hysteria V2 المخفية لتوجيه حركة المرور الخبيثة.
- نظام التحكم المركزي: إدارة العمليات بالكامل من خلال لوحة تحكم خبيثة تعمل وتدار عبر إطار عمل Flask.
اكتشاف أدوات الاستطلاع السحابية
تُظهر البيانات الحديثة من منصات إدارة سطح الهجوم وجود أكثر من 1000 خادم ComfyUI يمكن الوصول إليه علناً عبر الإنترنت. ورغم أن العدد الإجمالي لا يبدو ضخماً جداً، إلا أنه كافٍ تماماً لتحقيق مكاسب مالية مستمرة للقراصنة.
تم اكتشاف هذه الحملة المعقدة بعد تحديد دليل مفتوح وغير محمي على عنوان IP مرتبط بمزود خدمات استضافة مشبوه. وقد احتوى هذا الدليل السري على مجموعة أدوات غير موثقة مسبقاً لتنفيذ الهجمات بنجاح تام.
كيف يتم استغلال ثغرات العقد المخصصة؟
تتضمن ترسانة المهاجمين السيبرانيين أداتي استطلاع مخصصتين لجرد مثيلات ComfyUI المكشوفة عبر البنية التحتية السحابية. تحدد هذه الأدوات الذكية الخوادم التي ثبتت أداة ComfyUI-Manager وتعمل على تصفية العقد القابلة للاختراق السريع.
تعمل إحدى نصوص بايثون الاستكشافية كإطار استغلال متكامل يقوم بتسليح العقد المخصصة في المنصة لتنفيذ التعليمات البرمجية. وتستفيد هذه التقنية الخطيرة من حقيقة أن بعض العقد تقبل كود بايثون الخام وتقوم بتشغيله مباشرة دون أي طلب للمصادقة.
نتيجة لذلك، يمكن للمهاجم تحويل خدمة توليد الصور البريئة إلى قناة نشطة لتقديم حمولات بايثون الضارة. وإذا لم تكن العقد المستهدفة موجودة مسبقاً، يقوم الماسح الضوئي بالتحقق من وجود إضافة ComfyUI-Manager لتثبيت حزمة عقدة ضعيفة بنفسه، ثم يعيد محاولة الاختراق فوراً.
كيف تحمي خوادم الذكاء الاصطناعي من الاختراق؟
للوقاية من هذه التهديدات المتصاعدة، يوصي فريق تيكبامين بضرورة اتخاذ خطوات استباقية وفورية لحماية خوادم الذكاء الاصطناعي الخاصة بكم. يمكن تلخيص أهم الإجراءات الأمنية في النقاط التالية:
- تقييد الوصول: منع الوصول المباشر من الإنترنت إلى خوادم توليد الصور وحصرها في الشبكات المحلية الآمنة.
- تفعيل المصادقة: استخدام كلمات مرور قوية وإعدادات مصادقة صارمة لكافة الواجهات البرمجية والتطبيقات.
- تحديث الإضافات: التأكد من تحديث أداة ComfyUI-Manager وجميع العقد المخصصة بانتظام لتجنب الثغرات.
- مراقبة الموارد: متابعة استهلاك المعالج والذاكرة لاكتشاف أي نشاط تعدين غير طبيعي في الوقت الفعلي.
في النهاية، يظل الوعي الأمني والمراقبة المستمرة هما خط الدفاع الأول للشركات والمطورين. يجب على مديري الأنظمة عدم ترك خوادم ComfyUI مكشوفة لتجنب تحولها إلى أدوات لتعدين العملات الرقمية لصالح قراصنة الإنترنت.
