大規模AI基礎設施遭遇定向攻擊
網絡安全研究機構XLab近日發現針對ComfyUI框架的活躍攻擊活動。ComfyUI是當前廣泛用于部署大型AI圖像生成模型的開源框架。攻擊者通過該框架漏洞植入名為Pickai的C++后門程序,已導致全球近700臺服務器失陷。中國國家網絡安全通報中心于2025年5月27日發布高風險預警,敦促相關單位立即采取防御措施。
XLab在技術分析報告中指出:"隨著各行業私有化部署AI模型的快速興起,ComfyUI...不可避免地成為網絡攻擊的首要目標。"
后門程序技術特征分析
Pickai(名稱源自"扒手"的諧音)是一款輕量級但功能強大的Linux后門,具有遠程命令執行和反向Shell訪問能力,其顯著特征包括:
- 主機端隱匿技術:采用反調試手段、進程名稱欺騙和強健的持久化機制
- 網絡彈性設計:通過硬編碼域名實現多層命令控制(C2)故障轉移
XLab通過逆向工程發現,該惡意軟件使用的h67t48ehfth8e[.]com域名尚未注冊。研究人員隨即注冊該域名并捕獲到至少695臺受感染服務器的遙測數據,主要分布在德國、美國和中國境內。
"攻擊者迅速做出反應,更新Pickai使用有效期長達5年的新域名historyandresearch[.]com,表明其對抗清除行動的堅決態度。"
供應鏈攻擊風險加劇
更令人擔憂的是,Pickai樣本被發現托管在商業AI平臺Rubick.ai的官方網站上。該平臺為包括亞馬遜、Myntra、The Luxury Closet和Hudson Bay在內的200多個知名品牌提供電商運營支持。這一發現引發嚴重的下游惡意軟件傳播擔憂,使此次事件升級為供應鏈攻擊。盡管XLab已于5月3日通知Rubick.ai,但截至發稿該平臺尚未作出公開回應。
技術細節深度剖析
XLab對Pickai的技術分析顯示: 加密字符串存儲在.rodata段,使用0xAF進行異或加密。研究人員開發了定制化的IDAPython腳本進行靜態分析,成功提取出關鍵配置信息:
- 命令控制服務器地址
- 進程欺騙選項
- 持久化服務名稱
Pickai通過多路徑復制實現持久化,并偽裝成合法Linux系統服務:
| 文件路徑 | 服務名稱 |
|---|---|
| /usr/bin/auditlogd | auditlogd |
| /sbin/dmesglog | dmesglog |
| /var/run/healthmon | healthmon |
對于非root用戶,則通過用戶空間的systemd實現持久化,使用nano、vim和ssh.config等常見名稱規避檢測。"Pickai在每個文件末尾附加隨機數據,明顯旨在規避基于哈希值的檢測。"
通信協議與活動追蹤
Pickai采用簡單的1024字節填充數據包協議,使用LISTEN|、UPDATE|和STATUS|等關鍵詞。該惡意軟件每兩分鐘與C2服務器通信獲取指令,并每12小時輪換一次C2服務器優先級列表。
XLab成功捕獲到實時命令活動:"我們在XLab命令追蹤系統中實現了Pickai的協議,6月6日僅觀察到兩條指令,均觸發了反向Shell連接。"
清除難度極高
Pickai采用多實例、多路徑持久化策略,使得清除工作異常困難。XLab警告稱:"Pickai的冗余持久化機制使其具備頑固木馬特性——任何殘留副本都可能導致完全復活。"
