Kho lưu trữ OpenAI giả mạo trên Hugging Face đánh cắp dữ liệu từ 244.000 lượt tải xuống

Một kho lưu trữ gian lận trên nền tảng AI Hugging Face mạo danh công cụ quyền riêng tư của OpenAI đã được tải xuống 244.000 lần trong chưa đầy 18 giờ, phát tán mã độc đánh cắp thông tin làm rò rỉ thông tin xác thực của nhà phát triển và ví tiền điện tử.

"Chính kho lưu trữ này đã thực hiện hành vi typosquatting (chiếm dụng tên miền tương tự) bản phát hành Privacy Filter chính thống của OpenAI, sao chép thẻ mô hình của nó gần như nguyên văn," công ty bảo mật AI HiddenLayer, đơn vị phát hiện chiến dịch này, cho biết trong một báo cáo.

Kho lưu trữ giả mạo có tên Open-OSS/privacy-filter đã sử dụng hàng trăm tài khoản bot tự động để thổi phồng số lượng "thích" lên 667, giúp nó đạt vị trí số 1 xu hướng. Tập lệnh loader.py đi kèm đã khởi động một cuộc tấn công sáu giai đoạn, cuối cùng triển khai một trình đánh cắp thông tin (infostealer) viết bằng Rust để thu thập mật khẩu trình duyệt, mã thông báo Discord và khóa SSH.

Sự cố này làm nổi bật một lỗ hổng nghiêm trọng trong chuỗi cung ứng AI, nơi những kẻ tấn công có thể khai thác tính chất dựa trên sự tin tưởng của các nền tảng mã nguồn mở. Bằng cách mạo danh các mô hình phổ biến và thao túng bằng chứng xã hội, chúng có thể biến chính cộng đồng nhà phát triển thành một mạng lưới phân phối mã độc, đe dọa chèn các rủi ro bảo mật sâu vào các dự án cá nhân và doanh nghiệp.

Cách thức hoạt động của mã độc

Cuộc tấn công là một quy trình nhiều giai đoạn được thiết kế để tàng hình và đạt hiệu quả cao. Sau khi người dùng chạy tập lệnh Python ban đầu, một loạt hành động sẽ được thực thi mà không có bất kỳ dấu hiệu hiển thị nào cho người dùng. Tập lệnh đầu tiên hiển thị các đầu ra tải mô hình giả để tỏ ra hợp pháp trong khi nó vô hiệu hóa các kiểm tra bảo mật ở chế độ nền.

Sau đó, nó lấy một lệnh được mã hóa từ một trang web dán JSON công khai—một phương pháp cho phép những kẻ tấn công cập nhật tải trọng mà không cần thay đổi chính kho lưu trữ. Lệnh này được chuyển qua PowerShell, lệnh này sẽ tải xuống tập lệnh thứ hai từ một tên miền, api.eth-fastscan.org, bắt chước một dịch vụ phân tích blockchain. Tập lệnh thứ hai này tải xuống tải trọng cuối cùng: một trình đánh cắp thông tin tùy chỉnh được viết bằng Rust. Để tránh bị phát hiện, mã độc đã tự thêm mình vào danh sách loại trừ của Windows Defender trước khi chạy với đặc quyền nâng cao thông qua một tác vụ được lập lịch tự xóa ngay sau khi thực thi.

Trình đánh cắp thông tin được thiết kế rất kỹ lưỡng. Nó trích xuất các mật khẩu đã lưu, cookie phiên và khóa mã hóa từ trình duyệt Chrome và Firefox. Nó cũng nhắm mục tiêu vào các mã thông báo Discord, các cụm từ hạt giống ví tiền điện tử, khóa SSH và thông tin xác thực FTP, đóng gói dữ liệu bị đánh cắp vào một tệp JSON nén được gửi đến các máy chủ do kẻ tấn công kiểm soát.

Một chiến dịch có phối hợp

Đây không phải là một sự kiện đơn lẻ. Các nhà nghiên cứu của HiddenLayer đã xác định ít nhất sáu kho lưu trữ độc hại khác được tải lên bởi một tài khoản Hugging Face riêng biệt có tên "anthfu". Các kho lưu trữ này mạo danh các mô hình AI phổ biến khác, bao gồm Qwen3, DeepSeek và Bonsai, và sử dụng cùng một tập lệnh tải độc hại trỏ đến cùng một cơ sở hạ tầng chỉ huy và kiểm soát.

Chiến dịch này thể hiện một kịch bản rõ ràng cho các cuộc tấn công chuỗi cung ứng nhằm vào cộng đồng nhà phát triển AI. Thay vì xâm nhập trực tiếp vào một nền tảng, những kẻ tấn công có thể xuất bản một bản sao thuyết phục, sử dụng bot để thao túng các thuật toán xu hướng và chờ đợi các nhà phát triển không nghi ngờ tải xuống mã độc.

Nếu bạn đã nhân bản kho lưu trữ Open-OSS/privacy-filter và chạy bất kỳ tệp nào từ đó trên máy Windows, các chuyên gia bảo mật khuyên bạn nên coi thiết bị đó là đã bị xâm nhập hoàn toàn. Tất cả thông tin xác thực được lưu trữ trong trình duyệt nên được thay đổi, tiền điện tử phải được chuyển sang ví mới và bất kỳ khóa SSH hoặc FTP nào cũng nên được coi là đã bị đánh cắp và thay đổi ngay lập tức.

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.