ComfyUI-Server: Angreifer machen Instanzen zu Kryptominer-Proxy-Botnet

IT-Forscher beobachten eine Angriffswelle, bei der die bösartigen Akteure ComfyUI-Server in ein Botnet verfrachten. Darin dienen die kompromittierten Instanzen als Kryptominer und als Proxy-Server.

Das berichten IT-Sicherheitsforscher von Censys in einem Blog-Beitrag. Die beobachtete Angriffswelle fing am 12. März 2026 an. Da haben die Censys-Systeme ein sich rasch füllendes Verzeichnis bei einem Bulletproof-Hoster entdeckt, in dem Angreifer offenbar Daten von Internet-Scans sammelten. Die Untersuchung führte zur Erkenntnis, dass die Täter auf ComfyUI-Instanzen zielen, die offen im Internet stehen – die Censys-Forscher haben mehr als tausend solche Installationen im Netz ausgemacht. Die Angreifer versuchen, das Custom-Node-Ökosystem zu missbrauchen, um die Malware-Verteilung ohne vorherige Authentifizierung zu erreichen. Hinter „Custom Nodes“ verbirgt sich die Installation eigener Module in ComfyUI, bei einer Fehlkonfiguration ist das offenbar ohne Anmeldung möglich.

Ein in der Skriptsprache Python programmierter Scanner untersucht große IP-Bereiche auf verwundbare Ziele und installiert automatisch bösartige Nodes über den ComfyUI-Manager, sofern er noch keinen missbrauchbaren Node vorgefunden hat. Kompromittierte Server kontrollieren die Angreifer zentral über ein Flask-basiertes Command-and-Control-Dashboard. Die Instanzen schürfen schließlich Monero mittels XMRig und Conflux mittels lolMiner. Außerdem sind sie Bestandteil eines „Hysteria v2“-Botnets.

Verankerte Malware

Wie die Analysten weiter berichten, ist die verankerte Malware ausgefeilt. Sie versucht, der Entdeckung durch die Ausführung ohne abgelegte Dateien zu entgehen und maskiert den Kernel-Thread-Prozess. Außerdem verankert sie sich als LD_PRELOAD-Rootkit. Dabei überschreiben die Angreifer bestehende Funktionen von dynamisch gelinkten Programmen. Zudem kennt die „ghost.sh“-Malware drei unabhängige „Wiederbelebungsmechanismen“, die die Entfernung der Kryptominer-Komponente und Systemneustarts überstehen.

Der Python-Scanner bekommt sogar Updates. Die IT-Forscher berichten, dass die Version 8.2 davon zwei neue Re-Infektionsmechanismen erhalten hat. Eine tarnt sich als „GPU Performance Monitor“-Node und lädt alle sechs Stunden den Schadcode erneut nach. Der Zweite verschleiert sich hingegen als Startup-Workflow, der jedoch mit der Malware vergiftet ist.

Interessierte finden in der Analyse tiefergehende Details. Am Ende nennen die Censys-Mitarbeiter noch mehrere Indizien für einen Befall (Indicators of Compromise, IOC), mit denen ComfyUI-Admins prüfen können, ob sie Ziel in der aktuellen Angriffswelle geworden sind.

ComfyUI ist ein quelloffenes und populäres Toolkit zum lokalen Erstellen von KI-Bildern und -Videos. Es kann etwa als Alternative für das einfacher zu bedienende Amuse dienen. Die Server sollten jedoch aus Sicherheitsgründen besser nur im LAN oder mittels VPN zugreifbar sein und nicht offen im Internet stehen.

(dmk)