Keylogger yang Ditemukan di Ekstensi ComfyUI_LLMVISION

 (old.reddit.com)
2 poin oleh GN⁺ 2024-06-10 | 1 komentar | Bagikan ke WhatsApp
  • Jika Anda menggunakan node ComfyUI_LLMVISION yang diunggah oleh u/AppleBotzz, Anda telah diretas
  • Menggunakan paket tersebut menyebabkan data pribadi seperti kata sandi browser, informasi kartu kredit, dan riwayat penelusuran bocor ke server Discord
  • File persyaratan (requirements.txt) paket tersebut menyertakan wheel kustom untuk pustaka OpenAI dan Anthropic
  • Di dalam wheel ini, tersembunyi kode berbahaya
  • Pada wheel versi 1.16.2, versi 1.16.3 yang sebenarnya tidak ada akan dipasang, dan di dalamnya terdapat file /lib/browser/admin.py yang membaca data browser lalu menyimpannya ke direktori sementara
  • File tersebut mengirim data yang dikumpulkan ke webhook Discord dalam bentuk string terenkripsi
  • Versi 1.30.2 menyertakan file openai/_OAI.py, dan di dalamnya ada tautan Pastebin dalam bentuk string terenkripsi
  • Tautan Pastebin pertama berisi webhook Discord lain, dan tautan kedua berisi URL file berbahaya (VISION-D.exe)
  • Skrip tersebut membuat entri registri dan mencuri API key lalu mengirimkannya ke webhook Discord
  • Untuk memeriksa apakah Anda terdampak, Anda perlu mengecek direktori sementara, paket Python, registri Windows, dan lainnya
  • Jika ditemukan masalah, perlu dilakukan tindakan seperti menghapus paket terkait, menghapus file berbahaya, menghapus kunci registri, menjalankan pemeriksaan antivirus, dan mengganti kata sandi
  • Pengguna tersebut (u/applebotzz) tampaknya melakukan pembaruan sampai dua kali untuk menyembunyikan kode berbahaya, sehingga ini dinilai sebagai tindakan yang disengaja
  • Ke depannya, Anda perlu memeriksa dengan saksama custom node dan ekstensi yang dipasang

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-10
Komentar Hacker News
  • Ekstensi ComfyUI tersusun dari kode Python arbitrer sehingga rentan terhadap masalah keamanan.
  • Dalam deep learning, keamanan cenderung diabaikan. Dulu hampir semua model deep learning didistribusikan sebagai file pickle.
  • ComfyUI sangat kuat, tetapi Adobe tampaknya membuat kesalahan dalam pembuatan gambar. Diperlukan cara yang lebih aman.
  • Ada rasa penasaran tentang pendapat menggunakan Docker untuk memperkuat keamanan. Diragukan apakah keseimbangan antara kemudahan penggunaan dan keamanan bisa dicapai.
  • Ada keingintahuan tentang kemungkinan menggunakan code LLM yang dapat memindai repositori GitHub untuk mendeteksi malware tersembunyi di kode sumber.
  • Proyek ini tampak kecil. Proyek ini mendapat 40 bintang di GitHub, dan muncul pertanyaan apakah ini merupakan metode utama untuk integrasi GPT-4 dan Claude sebelum repositorinya dihapus.
  • Untuk mencegah masalah seperti ini, dibutuhkan lapisan verifikasi di tingkat OS. Muncul pertanyaan apakah ini bisa diatasi dengan menggunakan LLM lokal untuk memeriksa bytecode yang diinstal/dijalankan.
  • Ada klaim bahwa kelompok bernama Nullbulge Group mengambil alih repositori tersebut. Ada tangkapan layar sebelum repositori itu menampilkan galat 404.
  • Diskusi di Reddit dipenuhi banyak misinformasi dan pengetahuan palsu. Ini sama menakutkannya dengan malware itu sendiri.
  • Muncul pertanyaan apakah tidak ada cara bertahan dari keylogger. Jika keylogger sederhana bisa mencuri kata sandi, lalu apa yang harus dilakukan.