Злонамерено хранилище в Hugging Face, представящо се за легитимен проект на OpenAI, е достигнало първо място в trending секцията на платформата, преди да бъде премахнато заради разпространение на infostealer malware към Windows потребители.

Според изследователите от HiddenLayer злонамеренотo хранилище е събралo приблизително 244 000 изтегляния, преди платформата да реагира и да го свали.

Случаят показва колко бързо ML и ИИ екосистемите се превръщат в нова цел за supply chain атаки и malware кампании, насочени към разработчици, изследователи и DevOps среди.

Фалшив „Privacy Filter“ проект

Изследователите засичат кампанията на 7 май, след като откриват репозиторий с име Open-OSS/privacy-filter.

Хранилището е използвало typosquatting техника и почти изцяло копирало описанието на легитимния OpenAI Privacy Filter проект, за да изглежда автентично.

Основният злонамерен компонент е бил Python файлът loader.py, който на пръв поглед съдържал безобиден ИИ код.

В действителност скриптът:

• деактивирал SSL верификацията;
• декодирал base64 URL;
• изтеглял външен JSON payload;
• изпълнявал PowerShell команда във фонов режим.

Многоетапна инфекция с Rust infostealer

PowerShell командата изтегляла batch файл (start.bat), който:

• извършвал ескалация на привилегиите;
• изтеглял финалния payload;
• добавял malware-а към Microsoft Defender изключенията;
• стартирал infostealer-а.

Крайният payload – наречен sefirah – е написан на Rust и е предназначен за масова кражба на чувствителни данни.

Какви данни са били крадени

Malware-ът е таргетирал:

• browser cookies;
• запазени пароли;
• encryption keys;
• session tokens;
• Discord токени;
• крипто портфейли и wallet extensions;
• SSH, FTP и VPN credentials;
• FileZilla конфигурации;
• локални чувствителни файлове;
• wallet seed phrases и private keys;
• системна информация;
• screenshots от множество монитори.

Откраднатата информация е била компресирана и изпращана към command-and-control сървър.

Разширени anti-analysis техники

Според HiddenLayer малуерът е включвал сериозни механизми за избягване на анализ, включително проверки за:

• виртуални машини;
• пясъчници;
• дебъгери;
• инструменти за reverse engineering;
• анализиращи среди.

Това е затруднявало автоматизираните security системи и malware анализаторите.

Вероятно изкуствено напомпани изтегляния

Макар repository-то да е показвало над 244 000 изтегляния и стотици лайкове, изследователите подозират, че голяма част от активността е била фалшива.

От 667 акаунта, харесали проекта, повечето изглеждат автоматично генерирани.

Според HiddenLayer същата инфраструктура е използвана и в други злонамерени хранилища, както и в npm typosquatting кампания, свързана с malware-а WinOS 4.0.

Hugging Face все по-често се използва в кампании

Hugging Face се превърна в критична платформа за споделяне на:

• ИИ модели;
• datasets;
• ML инструменти;
• inference код;
• model weights.

Това обаче я прави и привлекателна среда за атакуващи, които използват доверието към популярни open-source ИИ проекти за разпространение на зловреден софтуер.

Подобни supply chain атаки са особено опасни, защото често засягат:

• разработчици;
• ML инженери;
• DevOps екипи;
• cloud среди;

Какво трябва да направят засегнатите потребители

Изследователите препоръчват на всеки, изтеглил файлове от злонамерения репозиторий:

• пълно преинсталиране на системата;
• смяна на всички креденшъли;
• подмяна на крипто портфейли и seed фрази;
• прекратяване на browser sessions;
• инвалидиране на authentication tokens.

Случаят е поредното доказателство, че ИИ екосистемата все по-често се превръща в нов фронт за киберпрестъпност, а trusted repositories и open-source платформи вече са активна част от supply chain атаките.