近日，ComfyUI社區(qū)廣受歡迎的插件 Impact-Pack 被曝存在嚴(yán)重安全漏洞，導(dǎo)致其依賴的 Ultralytics 包（版本8.3.41和8.3.42）被黑客植入了加密貨幣挖礦病毒。

由于 Impact-Pack 是幾乎每位用戶都會(huì)安裝的插件，許多人可能因此受到了影響。病毒通過惡意修改的 Ultralytics 包自動(dòng)下載并執(zhí)行惡意程序，連接到可疑的礦池地址（connect.consrensys.com:8080）進(jìn)行挖礦操作。病毒在后臺(tái)悄無聲息地運(yùn)行，嚴(yán)重占用系統(tǒng)資源，并會(huì)自動(dòng)刪除執(zhí)行文件以逃避檢測(cè)。

目前，尚不清楚黑客是如何攻擊的，也沒有明確證據(jù)表明其他包是否也受到相同的攻擊，一些開發(fā)者懷疑此次事件可能與內(nèi)部人員泄露有關(guān)。幸運(yùn)的是，這次漏洞僅涉及 PyPI（Python 官方軟件包倉庫）上的 Ultralytics 包。用戶可以選擇通過 GitHub 直接安裝該依賴，或者使用已修復(fù)的 8.3.43 版本，以確保系統(tǒng)安全。

鑒于該漏洞的隱蔽性，官方已建議所有受影響的用戶立即卸載有問題的插件和依賴包，并進(jìn)行系統(tǒng)安全掃描以確保惡意文件被清除。此外，用戶應(yīng)謹(jǐn)慎選擇插件來源，并及時(shí)關(guān)注官方更新，避免再次遭受類似攻擊。

地址|:https://comfyui-wiki.com/zh/news/2024-12-05-comfyui-impact-pack-virus-alert#google_vignette