画像生成AI、ComfyUIのノードにキーロガーが仕込まれていたことが発覚、クレカ情報やパスワードなど全て送信されていた

画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けにノードベースの画像生成ソフトウェア「ComfyUI」向けに作られたノードの一つ「ComfyUI_LLMVISION」にマルウェアが仕込まれていることがわかりました。発覚後、ComfyUI_LLMVISIONのGitHubリポジトリが削除されています。
https://www.reddit.com/r/comfyui/comments/1dbls5n/psa_if_youve_used_the_comfyui_llmvision_node_from/

クリエイターのロブ・ラフター氏がRedditで共有したところによると、ComfyUI_LLMVISIONをインストールして使用した場合、ブラウザのパスワード、クレジットカード情報、閲覧履歴がWebhook経由でDiscordサーバーに送信されてしまうとのこと。
ラフター氏自身も影響を受け、ComfyUI_LLMVISIONをインストールした約1週間後に多くのサービスで「悪意のあるログイン通知」が大量に送られてきたそうです。

ComfyUIはノードを組み合わせて各種機能を実行できるAI実行インターフェスで、ComfyUI向けに作られたさまざまなノードが存在します。ComfyUI_LLMVISIONは特に「GPT-4およびClaude 3の統合」をうたっていたノードでした。

また、「python_embeddedsite-packages」に以下のパッケージがある場合もデータが危険にさらされている場合があるとのこと。
・openai-1.16.3.dist-info
・anthropic-0.21.4.dist-info
・openai-1.30.2.dist-info
・anthropic-0.26.1.dist-info

または、「HKEY_CURRENT_USER」の下のWindowsレジストリを確認し、FunctionRunの値が1になっている場合もデータが侵害されているようです。

ラフター氏が知る限りの対処法は、上記パッケージを削除するか、Windowsレジストリで上記のキーを削除するか、下記のファイルを削除するか、マルウェアスキャンを実行するなど。
・lib/browser/admin.py
・lib/browser/admin.py
・Fadmino.py
・VISION-D.exe

ラフター氏は「これからは、インストールするカスタムノードや拡張機能のすべてを注意深くチェックすることにします。このコミュニティでは(マルウェア騒ぎなんて)起こらないと思っていたが、どうやらそういう人もいるようだ。作成者はだ」と記しました。

詳細はソース　2024年06月11日 16時00分
https://gigazine.net/news/20240611-comfyui-llmvision-malware/