ComfyUI_LLMVISION eklentisinde tespit edilen keylogger

 (old.reddit.com)
2 puan yazan GN⁺ 2024-06-10 | 1 yorum | WhatsApp'ta paylaş
  • u/AppleBotzz tarafından paylaşılan ComfyUI_LLMVISION düğümünü kullandıysanız, hacklenmiş olabilirsiniz
  • Bu paketi kullanınca tarayıcı parolaları, kredi kartı bilgileri, gezinme geçmişi gibi kişisel veriler bir Discord sunucusuna sızdırılıyor
  • Paketin gereksinim dosyasında (requirements.txt) OpenAI ve Anthropic kütüphaneleri için özel wheel'ler bulunuyordu
  • Bu wheel'lerin içine kötü amaçlı kod gizlenmişti
  • 1.16.2 sürümündeki wheel içinde var olmayan 1.16.3 sürümü kuruluyor ve bunun içinde tarayıcı verilerini okuyup geçici dizine kaydeden /lib/browser/admin.py dosyası yer alıyor
  • Bu dosya topladığı verileri şifrelenmiş bir dizgeye koyup Discord webhook'una gönderiyor
  • 1.30.2 sürümünde openai/_OAI.py dosyası bulunuyor ve bunun içinde Pastebin bağlantısı şifrelenmiş bir dizge olarak yer alıyor
  • İlk Pastebin bağlantısında başka bir Discord webhook'u, ikinci bağlantıda ise kötü amaçlı dosya (VISION-D.exe) URL'si bulunuyor
  • Betik kayıt defteri girdileri oluşturuyor ve API anahtarlarını çalıp Discord webhook'una gönderiyor
  • Etkilenip etkilenmediğinizi anlamak için geçici dizinleri, Python paketlerini ve Windows kayıt defterini kontrol etmeniz gerekiyor
  • Sorun tespit edilirse ilgili paketleri silmek, kötü amaçlı dosyaları kaldırmak, kayıt defteri anahtarlarını silmek, antivirüs taraması yapmak ve parolaları değiştirmek gibi adımlar atılmalı
  • İlgili kullanıcının (u/applebotzz) kötü amaçlı kodu gizlemek için iki kez güncelleme yaptığı görüldüğünden bunun kasıtlı bir eylem olduğu düşünülüyor
  • Bundan sonra kurduğunuz özel düğümleri ve eklentileri dikkatle incelemeniz gerekiyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-10
Hacker News yorumları
  • ComfyUI eklentileri rastgele Python kodlarından oluştuğu için güvenlik açısından zayıf.
  • Derin öğrenmede güvenlik göz ardı edilme eğiliminde. Eskiden neredeyse tüm derin öğrenme modelleri pickle dosyaları olarak dağıtılıyordu.
  • ComfyUI çok güçlü, ancak Adobe görüntü üretiminde bir hata yapmış gibi görünüyor. Daha güvenli bir yönteme ihtiyaç var.
  • Docker kullanarak güvenliği artırma konusundaki görüşler merak ediliyor. Kullanılabilirlik ile güvenlik arasında denge kurulup kurulamayacağı sorgulanıyor.
  • GitHub depolarını tarayarak kaynak koduna gizlenmiş kötü amaçlı yazılımı tespit edebilecek kod LLM’lerinin kullanılma ihtimali ilgi çekici bulunuyor.
  • Proje küçük görünüyor. GitHub’da 40 yıldız almıştı; depo silinmeden önce GPT-4 ve Claude entegrasyonu için başlıca yöntem olup olmadığı merak ediliyor.
  • Bu tür sorunları önlemek için OS düzeyinde doğrulama yapan bir katmana ihtiyaç var. Yerel bir LLM kullanarak yüklenen/çalıştırılan bytecode’u incelemenin çözüm olup olamayacağı sorgulanıyor.
  • Nullbulge Group adlı bir topluluğun depoyu ele geçirdiğini iddia ettiği belirtiliyor. Deponun 404 hatası vermeden önce alınmış ekran görüntüsü var.
  • Reddit’teki tartışma çok sayıda yanlış bilgi ve sahte bilgiyle dolu. Bunun kötü amaçlı yazılım kadar korkutucu olduğu söyleniyor.
  • Keylogger’a karşı bir savunma yöntemi olup olmadığı merak ediliyor. Basit bir keylogger bile parolaları çalabiliyorsa ne yapılması gerektiği sorgulanıyor.