- u/AppleBotzz が公開した ComfyUI_LLMVISION ノードを使っていたなら、あなたはハッキング被害に遭っている可能性が高い
- そのパッケージを使用すると、ブラウザのパスワード、クレジットカード情報、閲覧履歴などの個人情報が Discord サーバーに流出する
- 当該パッケージの requirements.txt には、OpenAI と Anthropic ライブラリ向けのカスタムホイール(wheel)が含まれていた
- このホイールの中に悪意のあるコードが隠されていた
- 1.16.2 バージョンのホイールでは、存在しない 1.16.3 バージョンがインストールされ、その中にはブラウザデータを読み取って一時ディレクトリに保存する
/lib/browser/admin.py ファイルが含まれている
- このファイルは収集したデータを暗号化された文字列に格納し、Discord Webhook に送信する
- 1.30.2 バージョンには
openai/_OAI.py ファイルが含まれており、その中には Pastebin リンクが暗号化された文字列として存在する
- 1つ目の Pastebin リンクには別の Discord Webhook が、2つ目のリンクには悪性ファイル(VISION-D.exe)の URL が含まれている
- スクリプトはレジストリエントリを作成し、API キーを窃取して Discord Webhook に送信する
- 影響を受けたか確認するには、一時ディレクトリ、Python パッケージ、Windows レジストリなどをチェックする必要がある
- 問題が見つかった場合は、関連パッケージの削除、悪性ファイルの除去、レジストリキーの削除、ウイルス対策ソフトでのスキャン、パスワード変更などの対応が必要になる
- 当該ユーザー(u/applebotzz)は悪意のあるコードを隠すために2度もアップデートを行ったとみられ、意図的な行為だったと判断される
- 今後はインストールするカスタムノードや拡張機能を注意深く確認する必要がある
1件のコメント
Hacker Newsのコメント