Campanha ativa visa instâncias expostas do ComfyUI para mineração de criptomoedas

BR Defense Center (By River de Morais e Silva)
malware

Uma campanha de cibersegurança tem como alvo instâncias expostas do ComfyUI, uma plataforma popular de difusão estável, para integrá-las em uma botnet de mineração de criptomoedas e proxy. Um scanner em Python varre continuamente os principais intervalos de IP na nuvem em busca de alvos vulneráveis, instalando automaticamente nós maliciosos via ComfyUI-Manager. A exploração se baseia em uma má configuração que permite a execução remota de código em implantações não autenticadas. Após a exploração bem-sucedida, os hosts comprometidos são utilizados para minerar Monero e Conflux, além de serem integrados a uma botnet chamada Hysteria V2. A pesquisa da Censys revelou mais de 1.000 instâncias do ComfyUI acessíveis publicamente, o que é suficiente para que agentes de ameaça realizem campanhas oportunistas. O ataque utiliza scripts que exploram nós personalizados do ComfyUI, permitindo a execução de código arbitrário sem autenticação. A persistência do malware é garantida por mecanismos que reinstalam o código a cada inicialização do ComfyUI, além de técnicas para ocultar a atividade maliciosa. Este incidente destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger serviços expostos na nuvem.

Fonte: https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
07/04/2026 • Risco: ALTO
MALWARE

Campanha ativa visa instâncias expostas do ComfyUI para mineração de criptomoedas

RESUMO EXECUTIVO
A exploração de instâncias do ComfyUI para mineração de criptomoedas representa um risco significativo para a segurança cibernética, com a possibilidade de comprometer dados sensíveis e impactar a conformidade regulatória. A detecção e mitigação de tais ameaças são cruciais para proteger a infraestrutura de TI.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos associados à recuperação de sistemas e possíveis multas por não conformidade.
Operacional
Comprometimento de instâncias para mineração de criptomoedas e controle remoto.
Setores vulneráveis
['Tecnologia', 'Serviços em nuvem', 'Financeiro']

📊 INDICADORES CHAVE

Mais de 1.000 instâncias do ComfyUI acessíveis publicamente. Indicador
Uso de dois scripts de reconhecimento para identificar alvos vulneráveis. Contexto BR
Persistência do malware com downloads a cada seis horas. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar instâncias do ComfyUI para identificar configurações inseguras.
2 Implementar regras de firewall para restringir o acesso a instâncias expostas.
3 Monitorar continuamente logs de acesso e atividades suspeitas nas instâncias da nuvem.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente atividade de botnets e a exploração de serviços expostos, que podem resultar em perdas financeiras significativas e comprometer a segurança da informação.

⚖️ COMPLIANCE

Implicações legais relacionadas à proteção de dados e à LGPD.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).