近日，ComfyUI社區(qū)廣受歡迎的插件 Impact-Pack 被曝存在嚴(yán)重安全漏洞，導(dǎo)致其依賴(lài)的 Ultralytics 包（版本8.3.41和8.3.42）被黑客植入了加密貨幣挖礦病毒。

由于 Impact-Pack 是幾乎每位用戶(hù)都會(huì)安裝的插件，許多人可能因此受到了影響。病毒通過(guò)惡意修改的 Ultralytics 包自動(dòng)下載并執(zhí)行惡意程序，連接到可疑的礦池地址（connect.consrensys.com:8080）進(jìn)行挖礦操作。病毒在后臺(tái)悄無(wú)聲息地運(yùn)行，嚴(yán)重占用系統(tǒng)資源，并會(huì)自動(dòng)刪除執(zhí)行文件以逃避檢測(cè)。

目前，尚不清楚黑客是如何攻擊的，也沒(méi)有明確證據(jù)表明其他包是否也受到相同的攻擊，一些開(kāi)發(fā)者懷疑此次事件可能與內(nèi)部人員泄露有關(guān)。幸運(yùn)的是，這次漏洞僅涉及 PyPI（Python 官方軟件包倉(cāng)庫(kù)）上的 Ultralytics 包。用戶(hù)可以選擇通過(guò) GitHub 直接安裝該依賴(lài)，或者使用已修復(fù)的 8.3.43 版本，以確保系統(tǒng)安全。

鑒于該漏洞的隱蔽性，官方已建議所有受影響的用戶(hù)立即卸載有問(wèn)題的插件和依賴(lài)包，并進(jìn)行系統(tǒng)安全掃描以確保惡意文件被清除。此外，用戶(hù)應(yīng)謹(jǐn)慎選擇插件來(lái)源，并及時(shí)關(guān)注官方更新，避免再次遭受類(lèi)似攻擊。

地址|:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette