Gefälschtes OpenAI-Repository auf Hugging Face verbreitet Infostealer

Zusammenfassung

Sicherheitsforscher von HiddenLayer haben auf der KI-Plattform Hugging Face ein schädliches Repository entdeckt, das sich als OpenAIs Projekt „Privacy Filter“ ausgab und Windows-Nutzern Infostealer-Malware unterschob. Das unter dem Namen Open-OSS/privacy-filter geführte Repository erreichte kurzzeitig Platz 1 der Trend-Liste und kam auf 244.000 Downloads, bevor die Plattform auf entsprechende Meldungen reagierte und es entfernte. Hugging Face dient Entwicklern und Forschern dazu, KI-Modelle, Datensätze und Machine-Learning-Werkzeuge zu teilen. Die Angreifer nutzten genau dieses Vertrauen aus: Sie ahmten per Typosquatting die legitime Privacy-Filter-Veröffentlichung von OpenAI nach, übernahmen deren Modellkarte nahezu wortgleich und ergänzten eine Datei namens loader.py, die auf Windows-Systemen Schadsoftware nachlud und ausführte. HiddenLayer ist auf den Schutz von KI- und ML-Modellen vor Angriffen spezialisiert und stieß im Mai auf die Kampagne. Wie viele Nutzer tatsächlich betroffen sind, ist unklar – die Forscher gehen davon aus, dass sowohl die Download-Zahl als auch die Zustimmungswerte künstlich aufgebläht wurden.

Im Zentrum der Kampagne stand die Datei loader.py. Das Python-Skript enthielt vorgeblich harmlosen, KI-bezogenen Code, führte im Hintergrund aber eine mehrstufige Infektionskette aus. Es deaktivierte die SSL-Prüfung, dekodierte eine base64-kodierte URL zu einer externen Ressource und lud anschließend eine JSON-Nutzlast nach, die einen PowerShell-Befehl enthielt.

Dieser Befehl wurde in einem unsichtbaren Fenster ausgeführt und holte eine Batch-Datei namens start.bat auf das System. Sie nahm eine Rechteausweitung vor, lud die finale Schadsoftware mit dem Namen sefirah nach, trug sie in die Ausschlussliste von Microsoft Defender ein und führte sie aus.

Bei der finalen Nutzlast handelt es sich laut HiddenLayer um einen in Rust geschriebenen Infostealer, der gezielt auf sensible Daten zugreift. Die gestohlenen Informationen werden komprimiert und an einen Command-and-Control-Server unter der Adresse recargapopular[.]com übertragen. Die Forscher heben die umfangreichen Schutzmechanismen der Malware gegen Analysen hervor: Sie prüft auf virtuelle Maschinen, Sandboxes, Debugger und Analysewerkzeuge, um entsprechende Untersuchungssysteme zu umgehen.

Wie viele Opfer es gibt, lässt sich nicht genau beziffern. Von den 667 Konten, die das schädliche Repository auf Hugging Face mit „Gefällt mir“ markierten, scheint der Großteil automatisch erzeugt worden zu sein; auch die 244.000 Downloads dürften künstlich in die Höhe getrieben worden sein.

Bei der weiteren Analyse stießen die Forscher auf zusätzliche Repositories, die dieselbe schädliche Loader-Infrastruktur verwendeten. Zudem stellten sie Überschneidungen mit einer Typosquatting-Kampagne im npm-Ökosystem fest, über die der Implant WinOS 4.0 verbreitet wird.

Nutzern, die Dateien aus dem schädlichen Repository heruntergeladen haben, rät HiddenLayer zu weitreichenden Maßnahmen: das betroffene System neu aufzusetzen, sämtliche gespeicherten Zugangsdaten zu wechseln, Kryptowährungs-Wallets samt Seed-Phrasen zu ersetzen sowie Browser-Sitzungen und Tokens für ungültig zu erklären.

Hugging Face ist bereits in der Vergangenheit zum Hosten schädlicher Modelle missbraucht worden – trotz der Sicherheitsvorkehrungen der Plattform.

Gefälschtes OpenAI-Repository auf Hugging Face verbreitet Infostealer

Ähnliche Artikel

Neueste Artikel