Hugging Face 上的假 OpenAI 仓库推送信息窃取恶意软件

Source: Bleeping Computer

Overview

一个恶意的 Hugging Face 仓库进入平台的趋势列表，冒充 OpenAI 的 Privacy Filter 项目，向 Windows 用户投放信息窃取恶意软件。该仓库曾短暂登上 Hugging Face 的 #1，并累计 244,000 次下载，随后平台在收到报告后将其移除。

HiddenLayer 的研究人员——该公司专注于保护 AI 与机器学习模型免受攻击——在 5 月 7 日发现了此活动，当时他们注意到一个名为 Open-OSS/privacy-filter 的仓库。

“该仓库对 OpenAI 正式的 Privacy Filter 发行版进行了错拼（typosquatting），几乎逐字复制了其模型卡，并提供了一个 loader.py 文件，该文件会在 Windows 机器上获取并执行信息窃取恶意软件，”研究人员在他们的完整报告中解释道。

Malicious Repository Details

loader.py 脚本中包含了伪装成 AI 相关代码的内容，以显得无害。实际上它在后台执行以下操作：

1. 禁用 SSL 验证。
2. 解码指向外部资源的 Base64 编码 URL。
3. 获取并执行包含 PowerShell 命令的 JSON 负载。

该 PowerShell 命令在隐藏窗口中运行，下载一个批处理文件（start.bat），该文件会：

• 提升权限。
• 下载最终负载（sefirah）。
• 将负载加入 Microsoft Defender 的排除列表。
• 执行负载。

来自恶意仓库的指令

来源：HiddenLayer

Payload and Capabilities

最终负载是一个基于 Rust 的信息窃取器，针对以下数据：

• 基于 Chromium 和 Gecko 的浏览器数据（Cookie、已保存密码、加密密钥、浏览记录、会话令牌）
• Discord 令牌、本地数据库和主密钥
• 加密货币钱包及浏览器扩展钱包
• SSH、FTP、VPN 凭证及配置文件（包括 FileZilla）
• 敏感本地文件和钱包种子/密钥
• 系统信息
• 多显示器截图

被窃取的数据会被压缩后上传至位于 recargapopular[.]com 的指挥控制服务器。

HiddenLayer 强调该负载具备大量反分析特性，包括检测虚拟机、沙箱、调试器以及其他分析工具。

Distribution and Impact

• 下载量： 244,000（可能被夸大）。
• 点赞数： 667 个账户点赞该仓库；大多数看起来是自动生成的。
• 相关活动： 研究人员发现了其他使用相同恶意加载器基础设施的仓库，并注意到与一次 npm 错拼（typosquatting）活动的重叠，该活动分发了 WinOS 4.0 植入程序。

Mitigation Recommendations

从恶意仓库下载文件的用户应当：

1. 重新镜像（重装）受影响的机器。
2. 更换 所有存储的凭证（密码、API 密钥、令牌）。
3. 更换 加密货币钱包及种子短语。
4. 使 浏览器会话和令牌失效。
5. 检查系统中是否仍有残留的恶意文件或计划任务。

Historical Abuse of Hugging Face

威胁行为者此前已经滥用 Hugging Face 托管恶意模型，尽管平台已采取安全措施。