8 de abril de 2026

¡Alerta! Instancias de ComfyUI expuestas, usadas para minería de criptomonedas

¡Alerta! Instancias de ComfyUI expuestas, usadas para minería de criptomonedas

Más de 1,000 instalaciones expuestas de ComfyUI, una plataforma popular para la generación de imágenes mediante la técnica de difusión estable, están siendo atacadas para convertirlas en parte de una red (botnet) que mina criptomonedas y sirve como proxy. Esto significa que tu ordenador podría estar siendo usado para generar dinero digital para otros, sin tu consentimiento.

Cómo funciona el ataque

Investigadores de Censys descubrieron que los atacantes escanean continuamente rangos de direcciones IP en la nube en busca de instalaciones vulnerables de ComfyUI. Aprovechan una configuración incorrecta que permite la ejecución remota de código (es decir, pueden ejecutar comandos en tu sistema desde otro lugar) a través de nodos personalizados (extensiones o plugins). Si no hay un nodo vulnerable instalado, los atacantes instalan uno a través de ComfyUI-Manager. Una vez que logran entrar, añaden el equipo a una red que mina Monero y Conflux, utilizando los programas XMRig y lolMiner, además de usarlo como un proxy Hysteria V2. Todo esto se controla desde un panel de control centralizado.

  • Los atacantes buscan nodos personalizados específicos en ComfyUI que permitan ejecutar código Python sin necesidad de autenticación.
  • Si no encuentran esos nodos, intentan instalar un paquete malicioso llamado "ComfyUI-Shell-Executor" a través de ComfyUI-Manager.
  • Una vez dentro, borran el historial de ComfyUI para no dejar rastro y establecen mecanismos para asegurar que el malware siga funcionando, incluso reiniciando el sistema.
  • El malware incluso deshabilita el historial de la shell, elimina otros mineros que compitan y usa técnicas para esconderse y evitar ser eliminado.

A quién afecta

Esta campaña afecta a cualquier persona que tenga una instancia de ComfyUI accesible públicamente en Internet. Si bien no son muchas, más de mil instancias son suficientes para que los atacantes obtengan beneficios económicos. Los atacantes están especialmente interesados en las instalaciones que tienen ComfyUI-Manager instalado.

Qué significa esto para ti

Si utilizas ComfyUI, es crucial que te asegures de que tu instalación no sea accesible desde Internet si no es necesario. Si necesitas acceso remoto, configura una autenticación robusta y mantén tu software actualizado. Revisa tus nodos personalizados y desinstala aquellos que no uses o que provengan de fuentes no confiables. Considera usar un firewall para limitar el acceso a tu instancia de ComfyUI solo a las direcciones IP que realmente lo necesitan. Mantente atento a las actualizaciones de seguridad y sigue las recomendaciones de los desarrolladores de ComfyUI para protegerte de este tipo de ataques. Esta actividad forma parte de una campaña más amplia centrada en descubrir y explotar servicios expuestos, seguida de la implementación de herramientas personalizadas para la persistencia, el escaneo o la monetización.

Fuente: https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html
← Anterior Vulnerabilidad en Docker permite saltars...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Hackers vinculados a Irán atacan infraestructuras críticas en EE. UU. a través de PLCs expuestos en Internet
APT28 ruso usa routers domésticos para espiar: cómo protegerse
Vulnerabilidad en Docker permite saltarse la autorización y obtener acceso al host
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio