Вредоносная модель Hugging Face, маскирующаяся под релиз OpenAI, набрала 244 000 загрузок — ИИ для бизнеса

Вредоносная модель Hugging Face, маскирующаяся под релиз OpenAI, набрала 244 000 загрузок

Прослушать статью

Репозиторий за 18 часов вышел на первое место в трендах Hugging Face, показав, что публичные AI-репозитории становятся новым вектором атаки на цепочку поставок ПО.

Источник: Robert Way / Shutterstock

Вредоносный репозиторий на Hugging Face, выдававший себя за релиз OpenAI, доставлял malware для кражи данных в системы Windows и успел набрать 244 000 загрузок до удаления, что вновь подняло вопрос о том, как компании ищут и проверяют AI-модели из публичных хранилищ.

Репозиторий под названием Open-OSS/privacy-filter имитировал легитимный релиз OpenAI Privacy Filter, почти дословно копировал его model card и содержал вредоносный файл loader.py, который загружал и запускал malware для кражи учетных данных на Windows-хостах, сообщила фирма по AI-безопасности HiddenLayer в исследовательском уведомлении.

«Репозиторий вышел на первое место в трендах Hugging Face, набрав примерно 244K загрузок и 667 лайков менее чем за 18 часов; эти цифры почти наверняка были искусственно раздуты, чтобы репозиторий выглядел легитимным», — добавили исследователи.

Инцидент показывает, что публичные реестры AI-моделей превращаются для компаний в новый риск цепочки поставок ПО, особенно на фоне того, что разработчики и data scientists все чаще клонируют open-source модели прямо в корпоративные среды с доступом к исходному коду, cloud credentials и внутренним системам.

README-файл поддельной модели отличался от легитимного проекта в одном ключевом месте: пользователям предлагалось запускать start.bat в Windows или выполнять python loader.py в Linux и macOS.

Ранее исследователи уже находили вредоносный код, скрытый в сериализованных Pickle файлах моделей на Hugging Face, который обходил сканеры платформы. Они также предупреждали, что цепочка поставок AI отстает от традиционного ПО по части контроля и инструментов.

Вредоносный loader маскируется под обычную настройку модели

По данным HiddenLayer, скрипт loader.py сначала выполняет приманочный код, похожий на обычный загрузчик AI-модели, а затем запускает скрытую цепочку заражения.

Скрипт отключал проверку SSL, декодировал URL в base64, связанный с публичным JSON-хостингом jsonkeeper.com, получал удаленную инструкцию с payload и передавал команды в PowerShell. «Использование jsonkeeper[.]com как канала C2 позволяет атакующему менять payload без модификации репозитория», — написали исследователи.

Затем команда PowerShell загружала дополнительный batch-файл с домена, контролируемого атакующим, и обеспечивала persistence, создавая scheduled task, замаскированный под легитимный процесс обновления Microsoft Edge.

В конечном итоге цепочка заражения разворачивала Rust-based infostealer, нацеленный на браузеры на базе Chromium и Firefox, локальное хранилище Discord, криптовалютные wallets, конфигурации FileZilla и сведения о системе хоста, говорится в уведомлении.

Кроме того, malware пытался отключить Windows Antimalware Scan Interface и Event Tracing for Windows, а также проверял окружения sandbox и virtual machine, чтобы уклониться от анализа.

Часть более широкой атаки на цепочку поставок AI

HiddenLayer в своем уведомлении сообщила, что обнаружила еще шесть репозиториев Hugging Face, загруженных под отдельной учетной записью, которые использовали почти идентичную логику loader и общую инфраструктуру с этой кампанией.

Исследователи также связали отдельные элементы операции с более ранними атаками на цепочку поставок ПО, включая кампании typosquatting в npm и поддельные AI-пакеты, распространявшиеся через PyPI. Общая инфраструктура «указывает на то, что эти кампании, возможно, связаны и, вероятно, являются частью более широкой операции цепочки поставок, нацеленной на open-source экосистемы», написала HiddenLayer.

Этот инцидент следует за более ранними предупреждениями о вредоносном коде внутри Pickle-serialized AI model files на Hugging Face, а также за отдельными кампаниями с poisoned AI SDKs и поддельными установщиками OpenClaw.

Традиционные средства защиты не справляются

Аналитики отмечают, что инцидент также показывает ограничения существующих инструментов software composition analysis и application security при работе с AI-артефактами.

«Традиционный SCA был создан для проверки манифестов зависимостей, библиотек и контейнерных образов, а не все более сложного поведения, связанного с AI-workflows», — сказала Сакши Гровер, старший менеджер по исследованиям в сфере кибербезопасности в IDC. — «Он гораздо хуже выявляет вредоносную логику loader, скрытую внутри, казалось бы, легитимных AI-репозиториев».

Директор-аналитик Gartner Джайшив Пракаш заявил, что компаниям теперь нужны отдельные механизмы управления на уровне AI registry.

«Компаниям необходимо внедрить отдельные меры контроля для источников моделей, утвержденных версий, доступа и runtime validation на уровне registry», — сказал Пракаш, добавив, что репозитории моделей распространяют исполняемые артефакты и встроенную логику, которые часто выходят за пределы эффективного охвата традиционных инструментов SCA.

В ноябрьском отчете IDC FutureScape за 2025 год прогнозируется, что к 2027 году 60% предприятий, внедряющих agentic AI-системы, потребуются AI bill of materials для непрерывного сканирования уязвимостей и подтверждения соответствия, сказала Гровер.

Что компаниям делать сейчас

HiddenLayer рекомендовала пострадавшим пользователям считать затронутые системы полностью скомпрометированными и отдавать приоритет переустановке системы, а не попыткам очистки.

«Если вы клонировали Open-OSS/privacy-filter и запускали start.bat, python loader.py или любой файл из репозитория на Windows-хосте, считайте систему полностью скомпрометированной», — говорится в уведомлении. Браузерные сеансы тоже следует считать скомпрометированными, даже если пароли не хранились локально, добавили исследователи, поскольку украденные session cookies могут обходить защиту multifactor authentication.

Компания также рекомендовала блокировать перечисленные indicators of compromise, ротировать учетные данные, инвалидировать активные сессии и проводить ретроспективный network hunt по соединениям, связанным с кампанией.

Материал впервые опубликован на CSO.

Материал — перевод статьи с английского.

Оригинал: Malicious Hugging Face model masquerading as OpenAI release hits 244K downloads

Подписаться на новости в Telegram