Un faux dépôt OpenAI sur Hugging Face vole les données de 244 000 téléchargements

Un dépôt frauduleux sur la plateforme d'IA Hugging Face, usurpant l'identité d'un outil de confidentialité d'OpenAI, a été téléchargé 244 000 fois en moins de 18 heures, diffusant un logiciel malveillant de vol d'informations qui a compromis les identifiants de développeurs et des portefeuilles crypto.

« Le dépôt lui-même a pratiqué le typosquattage sur la version légitime du Privacy Filter d'OpenAI, copiant sa fiche de modèle presque textuellement », a déclaré HiddenLayer, la société de sécurité IA qui a découvert la campagne, dans un rapport.

Le faux dépôt, nommé Open-OSS/privacy-filter, a utilisé des centaines de comptes de bots automatisés pour gonfler son nombre de « j'aime » jusqu'à 667, l'aidant ainsi à atteindre la première place des tendances. Le script loader.py inclus a initié une attaque en six étapes, déployant finalement un infostealer écrit en Rust qui a récolté les mots de passe de navigateurs, les jetons Discord et les clés SSH.

L'incident met en évidence une vulnérabilité critique dans la chaîne d'approvisionnement de l'IA, où les attaquants peuvent exploiter la nature basée sur la confiance des plateformes open-source. En usurpant l'identité de modèles populaires et en manipulant la preuve sociale, ils peuvent transformer la communauté des développeurs elle-même en un réseau de distribution de logiciels malveillants, menaçant d'intégrer des risques de sécurité profondément au sein de projets d'entreprise et personnels.

Fonctionnement du logiciel malveillant

L'attaque était un processus en plusieurs étapes conçu pour la furtivité et l'efficacité. Après qu'un utilisateur a exécuté le script Python initial, une série d'actions s'est déroulée sans aucun signe visible pour l'utilisateur. Le script affichait d'abord de faux messages de chargement de modèle pour paraître légitime tout en désactivant les contrôles de sécurité en arrière-plan.

Il a ensuite extrait une commande encodée d'un site public de partage de JSON — une méthode qui permet aux attaquants de mettre à jour les charges utiles sans modifier le dépôt lui-même. Cette commande a été transmise à PowerShell, qui a téléchargé un second script à partir d'un domaine, api.eth-fastscan.org, imitant un service d'analyse de blockchain. Ce second script a téléchargé la charge utile finale : un infostealer personnalisé écrit en Rust. Pour éviter la détection, le malware s'est ajouté à la liste d'exclusion de Windows Defender avant de s'exécuter avec des privilèges élevés via une tâche planifiée qui s'est supprimée immédiatement après exécution.

L'infostealer a été conçu pour être exhaustif. Il a exfiltré les mots de passe enregistrés, les cookies de session et les clés de chiffrement des navigateurs Chrome et Firefox. Il a également ciblé les jetons Discord, les phrases de récupération de portefeuilles de crypto-monnaies, les clés SSH et les identifiants FTP, regroupant les données volées dans un fichier JSON compressé envoyé vers des serveurs contrôlés par l'attaquant.

Une campagne coordonnée

Il ne s'agissait pas d'un événement isolé. Les chercheurs de HiddenLayer ont identifié au moins six autres dépôts malveillants téléchargés par un compte Hugging Face distinct nommé « anthfu ». Ces dépôts usurpaient l'identité d'autres modèles d'IA populaires, notamment Qwen3, DeepSeek et Bonsai, et utilisaient le même script de chargement malveillant pointant vers la même infrastructure de commande et de contrôle.

La campagne démontre une stratégie claire pour les attaques de la chaîne d'approvisionnement contre la communauté des développeurs d'IA. Au lieu de s'attaquer directement à une plateforme, les attaquants peuvent publier une imitation convaincante, utiliser des bots pour manipuler les algorithmes de tendances et attendre que des développeurs peu méfiants téléchargent le malware.

Si vous avez cloné le dépôt Open-OSS/privacy-filter et exécuté n'importe quel fichier à partir de celui-ci sur une machine Windows, les experts en sécurité conseillent de considérer l'appareil comme étant totalement compromis. Tous les identifiants stockés dans les navigateurs doivent être changés, les fonds crypto déplacés vers de nouveaux portefeuilles, et toutes les clés SSH ou FTP doivent être considérées comme volées et renouvelées immédiatement.

Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.