خوادم صور الذكاء الاصطناعي تتحول إلى مناجم ذهب رقمية: استيلاء تعدين العملات المشفرة عبر ComfyUI

قراصنة يختطفون خوادم ComfyUI المكشوفة لتغذية تعدين عملات مشفرة خفي وعمليات شبكات بروكسي بوتنت، مستغلين طفرة الذكاء الاصطناعي لتحقيق أرباح إجرامية.

في الزوايا المعتمة من الإنترنت، يحوّل جيل جديد من مجرمي الإنترنت ثورة الذكاء الاصطناعي إلى مصدر ربح وفير. فخلف الوجه الودود لـ ComfyUI - أداة مفتوحة المصدر قائمة على العُقد يعشقها هواة صور الذكاء الاصطناعي - تتخفى حملة متنامية من الخوادم المختطفة، التي جرى تحويلها إلى محركات صامتة لتعدين العملات المشفرة وشبكات بروكسي سرية تحت الأرض.

حقائق سريعة

تم العثور على أكثر من 1,000 خادم ComfyUI مكشوف على الإنترنت ومعرّض للخطر، ومعظمها يعمل على وحدات GPU سحابية قوية.
يستغل المهاجمون العُقد المخصصة في ComfyUI للحصول على تنفيذ أوامر عن بُعد، دون الحاجة إلى ثغرة برمجية تقليدية.
تقوم الأنظمة المخترقة بتعدين Monero وConflux، وفي الوقت نفسه تعمل كعُقد ضمن بوتنت بروكسي لإعادة بيعها إجراميًا.
تستخدم البرمجيات الخبيثة تقنيات متقدمة بلا ملفات وروتكِت على مستوى النواة لتفادي الكشف والإزالة.
تُنسَّق الحملة عبر لوحة تحكم مبنية على Flask، تتعقب الأجهزة المصابة وتحقق الدخل من التعدين ومن إتاحة الوصول عبر البروكسي.

من الفن إلى الاستغلال: كيف استولى القراصنة على ComfyUI

صُمّم ComfyUI، وهو واجهة شائعة لتوليد صور الذكاء الاصطناعي، ليكون مرنًا - إذ يتيح للمستخدمين إضافة “عُقد مخصصة” قوية لميزات جديدة. لكن هذه القابلية للتوسّع نفسها أصبحت كعب أخيله. فقد كشف باحثون أمنيون عن حملة متطورة يقوم فيها المهاجمون بمسح منهجي لمزوّدي السحابة مثل AWS وGCP وOracle Cloud، بحثًا عن مثيلات ComfyUI التي تُترك مكشوفة دون مصادقة.

عدة القراصنة بسيطة وفعّالة في آن واحد. أولًا، تمسح سكربتات خفيفة الإنترنت بحثًا عن نقاط نهاية ComfyUI النشطة. وبمجرد العثور على هدف، يفحص ماسح Python مُصمَّم خصيصًا وجود عُقد قادرة على تشغيل شيفرة Python عشوائية. وإذا وُجدت، يحقن المهاجم سير عمل خبيثًا، ليحصل فورًا على تنفيذ شيفرة عن بُعد - من دون الحاجة إلى ثغرة يوم-صفر. وحتى إن كانت أخطر العُقد غير موجودة، يستطيع المهاجمون تثبيت عقدة باب خلفي خاصة بهم باستخدام وظائف مدير ComfyUI المدمجة.

برمجيات خبيثة بلا ملفات وتهديدات مستمرة

تبدأ “الحيلة” الحقيقية بعد اختراق الخادم. ينشر المهاجمون “Ghost”، وهو مُحمِّل برمجيات خبيثة متعدد المكونات يثبت XMRig وlolMiner لتعدين Monero وConflux على التوالي. ولتجنب ترك أثر، تُنفَّذ البرمجية الخبيثة مباشرة في الذاكرة (تقنية بلا ملفات)، وإذا مُنحت صلاحيات الجذر، تُخفي نفسها باستخدام روتكِت Linux مخصص. لا تصمد حراس النظام أمام ذلك - فنسخ احتياطية، وأدلة مخفية، وأعلام مقاومة للعبث تضمن بقاء عمليات التعدين والبروكسي بعد إعادة التشغيل ومحاولات التنظيف اليدوية.

لكن تعدين العملات المشفرة ليس سوى نصف الخطة. فكل خادم مختطف ينضم أيضًا إلى بوتنت بروكسي قائم على Hysteria، متخفيًا كحركة HTTPS شرعية. تُدار هذه عُقد البروكسي مركزيًا، مع تسجيل مُعرّفات فريدة وإحصاءات عتاد مفصلة في لوحة معلومات تعمل عبر Flask. ويمكن للمشغلين الإجراميين إعادة بيع الوصول عبر البروكسي أو استخدامه لإخفاء هجمات لاحقة، ما يخلق شبكة ذاتية الاستدامة قابلة لتحقيق الدخل.

تداعيات أوسع وخطوات دفاعية

تُظهر هذه الحملة تقاربًا خطيرًا: تعطّش مجتمع الذكاء الاصطناعي لأدوات سريعة ومرنة يجري تسليحه من قبل مجرمي الإنترنت بأقل جهد. ومع تطور أدوات المهاجمين، يجب على المدافعين التعامل مع منصات مثل ComfyUI بوصفها برمجيات بمستوى الإنتاج. إن تعريضها للإنترنت دون مصادقة قوية قنبلة موقوتة. ويُحثّ المسؤولون على تعطيل العُقد المخصصة عالية المخاطر، ومراقبة الإضافات المشبوهة أو حركة التعدين غير المبررة، ومراجعة سير العمل بحثًا عن مؤشرات اختراق.

إن اختطاف خوادم ComfyUI تحذير صارخ: في سباق تسخير القوة الإبداعية للذكاء الاصطناعي، لا يمكن أن تكون الحماية مجرد فكرة لاحقة. ومع تكيف مجرمي الإنترنت، يجب أن يتكيف أيضًا حماة البنية التحتية الرقمية - قبل أن تترك حمى الذهب التالية المزيد من الآلات تنقّب عن ثروة شخص آخر.

WIKICROOK

تنفيذ الشيفرة عن بُعد (RCE): تنفيذ الشيفرة عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو اختراقه.
برمجيات خبيثة بلا ملفات: البرمجيات الخبيثة بلا ملفات هي برمجيات ضارة تعمل في ذاكرة الحاسوب، متجنبة التخزين على القرص، ما يجعل اكتشافها صعبًا على أدوات الأمان التقليدية.
روتكِت: الروتكِت هو برمجية خبيثة متخفية تُخفي نفسها على جهاز ما، ما يسمح للمهاجمين بالتحكم سرًا في النظام وتفادي الكشف.
بوتنت بروكسي: بوتنت البروكسي هي مجموعة من الأجهزة المختطفة يستخدمها المهاجمون لترحيل النشاط الخبيث وإخفاء هوياتهم الحقيقية.
تعدين عبر GPU: يستفيد تعدين GPU من بطاقات الرسوميات لحل حسابات معقدة بكفاءة لصالح العملات المشفرة، موفرًا مزايا في السرعة واستهلاك الطاقة مقارنة بتعدين CPU.