一個冒充 OpenAI 隱私過濾器的惡意 AI 模型儲存庫登頂 Hugging Face 趨勢榜,通過複雜的六階段攻擊竊取開發者憑據。
返回
Hugging Face 平台虛假 OpenAI 儲存庫被下載 24.4 萬次並竊取數據
Hugging Face AI 平台上有一個冒充 OpenAI 隱私工具的欺詐性儲存庫在不到 18 小時內被下載了 24.4 萬次,該儲存庫分發了一種竊取資訊的惡意軟體,損害了開發者的憑據和加密貨幣錢包。
「該儲存庫本身是對 OpenAI 正式發布的 Privacy Filter 進行的拼寫錯誤搶注(Typosquatting),幾乎原封不動地複製了其模型卡,」發現此項攻擊活動的 AI 安全公司 HiddenLayer 在一份報告中表示。
這個名為 Open-OSS/privacy-filter 的虛假儲存庫利用數百個自動化機器人帳號將其「點贊」數虛增至 667 次,從而幫助其登頂趨勢榜首位。其中包含的 loader.py 腳本發起了一個六階段攻擊,最終部署了一個基於 Rust 的資訊竊取程式,用於收集瀏覽器密碼、Discord 令牌和 SSH 金鑰。
此事件凸顯了 AI 供應鏈中的一個關鍵漏洞,攻擊者可以利用開源平台基於信任的性質進行破壞。通過冒充熱門模型並操縱社會證明,他們可以將開發者社區本身變成惡意軟體的分發網絡,威脅到企業和個人項目中深埋的安全風險。
惡意軟體的工作原理
該攻擊是一個多階段過程,旨在兼顧隱蔽性和有效性。在用戶運行初始 Python 腳本後,一系列操作會在用戶沒有任何察覺的情況下執行。腳本首先顯示虛假的模型加載輸出以偽裝成合法程序,同時在後台禁用安全檢查。
隨後,它從一個公開的 JSON 粘貼網站提取編碼命令——這種方法允許攻擊者在不更改儲存庫本身的情況下更新負載。該命令被傳遞給 PowerShell,後者從域名 api.eth-fastscan.org(模擬區塊鏈分析服務)下載了第二個腳本。這第二個腳本下載了最終負載:一個用 Rust 編寫的自定義資訊竊取程式。為了規避檢測,惡意軟體在通過排程工作以提升權限運行之前,將其自身添加到 Windows Defender 的排除列表中,並在執行後立即刪除該工作。
該資訊竊取程式設計周密。它從 Chrome 和 Firefox 瀏覽器中竊取保存的密碼、工作階段 Cookie 和加密金鑰。它還針對 Discord 令牌、加密貨幣錢包助記詞、SSH 金鑰和 FTP 憑據,將竊取的數據打包成壓縮的 JSON 文件發送到攻擊者控制的伺服器。
一場協調一致的攻擊活動
這並非孤立事件。HiddenLayer 研究人員發現,一個名為 「anthfu」 的獨立 Hugging Face 帳號至少還上傳了另外六個惡意儲存庫。這些儲存庫冒充了包括 Qwen3、DeepSeek 和 Bonsai 在內的其他熱門 AI 模型,並使用了指向相同命令與控制(C2)基礎設施的相同惡意加載腳本。
該攻擊活動展示了針對 AI 開發者社區進行供應鏈攻擊的清晰劇本。攻擊者無需直接入侵平台,只需發布一個極具說服力的仿製品,利用機器人操縱趨勢算法,並等待毫無防備的開發者下載惡意軟體。
如果您複製了 Open-OSS/privacy-filter 儲存庫並在 Windows 機器上運行了其中的任何文件,安全專家建議將該設備視為已完全失陷。所有存儲在瀏覽器中的憑據都應更改,加密資產應轉移到新錢包,任何 SSH 或 FTP 金鑰都應視為已被盜並立即更換。
本文僅供參考,不構成投資建議。
