大规模AI基础设施遭遇定向攻击
网络安全研究机构XLab近日发现针对ComfyUI框架的活跃攻击活动。ComfyUI是当前广泛用于部署大型AI图像生成模型的开源框架。攻击者通过该框架漏洞植入名为Pickai的C++后门程序,已导致全球近700台服务器失陷。中国国家网络安全通报中心于2025年5月27日发布高风险预警,敦促相关单位立即采取防御措施。
XLab在技术分析报告中指出:"随着各行业私有化部署AI模型的快速兴起,ComfyUI...不可避免地成为网络攻击的首要目标。"
后门程序技术特征分析
Pickai(名称源自"扒手"的谐音)是一款轻量级但功能强大的Linux后门,具有远程命令执行和反向Shell访问能力,其显著特征包括:
- 主机端隐匿技术:采用反调试手段、进程名称欺骗和强健的持久化机制
- 网络弹性设计:通过硬编码域名实现多层命令控制(C2)故障转移
XLab通过逆向工程发现,该恶意软件使用的h67t48ehfth8e[.]com域名尚未注册。研究人员随即注册该域名并捕获到至少695台受感染服务器的遥测数据,主要分布在德国、美国和中国境内。
"攻击者迅速做出反应,更新Pickai使用有效期长达5年的新域名historyandresearch[.]com,表明其对抗清除行动的坚决态度。"
供应链攻击风险加剧
更令人担忧的是,Pickai样本被发现托管在商业AI平台Rubick.ai的官方网站上。该平台为包括亚马逊、Myntra、The Luxury Closet和Hudson Bay在内的200多个知名品牌提供电商运营支持。这一发现引发严重的下游恶意软件传播担忧,使此次事件升级为供应链攻击。尽管XLab已于5月3日通知Rubick.ai,但截至发稿该平台尚未作出公开回应。
技术细节深度剖析
XLab对Pickai的技术分析显示: 加密字符串存储在.rodata段,使用0xAF进行异或加密。研究人员开发了定制化的IDAPython脚本进行静态分析,成功提取出关键配置信息:
- 命令控制服务器地址
- 进程欺骗选项
- 持久化服务名称
Pickai通过多路径复制实现持久化,并伪装成合法Linux系统服务:
| 文件路径 | 服务名称 |
|---|---|
| /usr/bin/auditlogd | auditlogd |
| /sbin/dmesglog | dmesglog |
| /var/run/healthmon | healthmon |
对于非root用户,则通过用户空间的systemd实现持久化,使用nano、vim和ssh.config等常见名称规避检测。"Pickai在每个文件末尾附加随机数据,明显旨在规避基于哈希值的检测。"
通信协议与活动追踪
Pickai采用简单的1024字节填充数据包协议,使用LISTEN|、UPDATE|和STATUS|等关键词。该恶意软件每两分钟与C2服务器通信获取指令,并每12小时轮换一次C2服务器优先级列表。
XLab成功捕获到实时命令活动:"我们在XLab命令追踪系统中实现了Pickai的协议,6月6日仅观察到两条指令,均触发了反向Shell连接。"
清除难度极高
Pickai采用多实例、多路径持久化策略,使得清除工作异常困难。XLab警告称:"Pickai的冗余持久化机制使其具备顽固木马特性------任何残留副本都可能导致完全复活。"