- u/AppleBotzz 가 올린 ComfyUI_LLMVISION 노드를 사용했다면, 당신은 해킹당했음
- 그 패키지를 사용하면 브라우저 비밀번호, 신용카드 정보, 브라우징 기록 등의 개인정보가 Discord 서버로 유출됨
- 해당 패키지의 요구사항 파일(requirements.txt)에는 OpenAI와 Anthropic 라이브러리를 위한 커스텀 휠(wheel)이 포함되어 있었음
- 이 휠 안에는 악성 코드가 숨겨져 있었음
- 1.16.2 버전의 휠에는 존재하지 않는 1.16.3 버전이 설치되며, 안에는 브라우저 데이터를 읽어 임시 디렉토리에 저장하는 /lib/browser/admin.py 파일이 포함됨
- 해당 파일은 수집한 데이터를 암호화된 문자열에 담아 Discord 웹훅으로 전송함
- 1.30.2 버전에는 openai/_OAI.py 파일이 포함되어 있으며, 안에는 Pastebin 링크가 암호화된 문자열로 존재함
- 첫 번째 Pastebin 링크에는 다른 Discord 웹훅이, 두 번째 링크에는 악성 파일(VISION-D.exe)의 URL이 포함됨
- 스크립트는 레지스트리 항목을 생성하고 API 키를 탈취하여 Discord 웹훅으로 전송함
- 영향을 받았는지 확인하려면 임시 디렉토리, 파이썬 패키지, 윈도우 레지스트리 등을 체크해야 함
- 문제가 발견되면 관련 패키지 삭제, 악성 파일 제거, 레지스트리 키 삭제, 백신 검사, 비밀번호 변경 등의 조치가 필요함
- 해당 사용자(u/applebotzz)는 악성 코드를 감추기 위해 두 차례나 업데이트를 진행한 것으로 보아 고의적인 행위로 판단됨
- 앞으로는 설치하는 커스텀 노드와 확장 기능을 주의 깊게 확인해야 함