hugging face 上的虚假 OpenAI 仓库传播信息窃取恶意软件

hugging face 平台上一个恶意仓库伪装成 OpenAI 的 “隐私过滤器” 项目，登上平台热门榜单，向 Windows 用户传播信息窃取恶意软件。

在平台收到举报并将其删除之前，该仓库一度在 hugging face 上排名第一，累计下载量达 24.4 万次。

hugging face 平台允许开发者和研究人员分享人工智能模型、数据集和机器学习（ML）工具。模型是预先训练好的人工智能系统，托管在平台上，包含权重文件、配置和代码。

专注于保护人工智能和机器学习模型免受攻击的 HiddenLayer 公司的研究人员，于 5 月 7 日发现了这一恶意活动，他们注意到一个名为 Open - OSS/privacy - filter 的恶意仓库。

研究人员解释说：“该仓库模仿了 OpenAI 合法的隐私过滤器发布内容，但拼写有误，几乎逐字照搬了其模型说明，并附带了一个 loader.py 文件，该文件会在 Windows 机器上获取并执行信息窃取恶意软件。”

恶意仓库中的 “loader.py”Python 脚本包含虚假的人工智能相关代码，看似无害，但在后台，它会禁用 SSL 验证，解码指向外部资源的 base64 编码 URL，然后获取并执行一个包含 PowerShell 命令的 JSON 有效载荷。

这个在不可见窗口中执行的命令会下载一个批处理文件（start.bat），该文件执行提权操作，下载最终的有效载荷（sefirah），将其添加到微软 Defender 的排除项中并执行。

最终的有效载荷是一个基于 Rust 语言的信息窃取程序，目标是以下敏感数据：

• 基于 Chromium 和 Gecko 内核浏览器的浏览器数据（如 cookies、保存的密码、加密密钥、浏览数据、会话令牌）

• Discord 令牌、本地数据库和主密钥

• 加密货币钱包和钱包浏览器扩展

• SSH、FTP 和 VPN 凭证及配置文件，包括 FileZilla 相关信息

• 敏感本地文件和钱包种子 / 密钥

• 系统信息

• 多显示器截图

窃取到的数据会被压缩并泄露到位于 recargapopular [.] com 的命令控制（C2）服务器。

HiddenLayer 强调该恶意软件具有广泛的反分析功能，包括检测虚拟机、沙盒、调试器和分析工具，目的都是逃避分析系统。

此次事件中确切的受害者数量尚不清楚，研究人员指出，在 hugging face 上给该恶意仓库点赞的 667 个账户，绝大多数似乎是自动生成的。此外，24.4 万次的下载量可能是人为夸大的。

通过对这些情况的调查，研究人员发现了其他使用相同恶意加载器基础设施的仓库。HiddenLayer 的研究人员还注意到，这与一个分发 WinOS 4.0 植入程序的 npm 仿冒活动存在重叠。

建议从该恶意仓库下载过文件的用户重新安装机器系统，更换所有存储的凭证，替换加密货币钱包和助记词，并使浏览器会话和令牌失效。

尽管 hugging face 平台设有安全措施，但威胁行为者过去也曾滥用该平台托管恶意模型。