MalwareHackerangriffeKI-Sicherheit

Gefälschtes OpenAI-Modell auf Hugging Face: Malware-Repository erreicht Platz 1 mit 244.000 Downloads

Von CyberDeutsch Redaktion
Gefälschtes OpenAI-Modell auf Hugging Face: Malware-Repository erreicht Platz 1 mit 244.000 Downloads
Zusammenfassung

Ein gefälschtes Repository, das sich als OpenAIs Privacy-Filter-Modell ausgab, ist kürzlich zum Spitzenreiter auf der Plattform Hugging Face aufgestiegen und wurde über 244.000 Mal heruntergeladen. Die böswillige Kopie täuschte Nutzer durch die wortgetreue Übernahme der legitimen Beschreibung und versteckte einen Windows-Infostealer, der auf Rust basiert. Das Projekt verbreitete sich rasend schnell und erzielte innerhalb von 18 Stunden künstlich aufgeblasene Engagementmetriken, bevor Hugging Face es deaktivierte. Die Malware nutzte eine mehrstufige Infektionskette mit PowerShell und Batch-Skripten, um Benutzeranmeldedaten, Kryptowallet-Daten, Discord-Informationen und Browser-Daten zu stehlen. Besonders beunruhigend ist die Verbindung zur chinesischen Hacker-Gruppe Silver Fox und zur ValleyRAT-Malware, die auf kompromittierter Infrastruktur basiert. Deutsche Nutzer, Entwickler und Unternehmen, die auf Open-Source-Modelle von Plattformen wie Hugging Face angewiesen sind, sollten verstärkt auf Typosquatting-Angriffe achten und ihre Download-Quellen überprüfen. Der Fall zeigt ein wachsendes Risiko in der Open-Source-Supply-Chain und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen bei der Nutzung von automatisierten KI-Modellen und Code-Repositories.

Die Sicherheitsforschungsgruppe HiddenLayer deckte auf, dass das Repository “Open-OSS/privacy-filter” ein perfektes Imitat von OpenAIs legitimem Projekt war. Durch die Übernahme nahezu identischer Beschreibungen und Metadaten erreichte die Malware ein hohes Vertrauensniveau. Die künstlich aufgeblähten Zahlen – 667 Likes und 244.000 Downloads in 18 Stunden – deuten darauf hin, dass Angreifer Engagement-Metriken manipulierten.

Der Angriffsablauf ist technisch ausgefeilte: Das Projekt enthielt eine manipulierte “loader.py”-Datei, die beim Ausführen eine Kette von Schadsoftware-Downloads auslöste. Das Python-Skript deaktivierte zunächst die SSL-Verifikation, decodierte eine Base64-kodierte URL von JSON Keeper und übergab den Befehl an PowerShell. Dieser Ansatz ermöglicht es Angreifern, die Payload zu ändern, ohne das Repository zu modifizieren.

Der zweite Stage war ein Batch-Skript, das die Systemverstärkung durch UAC-Prompts durchführte, Microsoft Defender so konfigurierte, dass es die Malware ignorierte, und eine Geplante Aufgabe einrichtete. Die Final-Stage war ein Informationsstealer mit beeindruckenden Fähigkeiten: Erfassung von Bildschirmfotos, Daten aus Discord, Kryptowallet-Informationen, Chromium- und Firefox-Browsern sowie Systemmetadaten.

Ein besonders alarmierender Fund war die Verbindung zu ValleyRAT (Winos 4.0), einem modularen Remote-Access-Trojaner, der von der chinesischen Hackergruppe Silver Fox verwendet wird. Die gemeinsame Infrastruktur deutet auf koordinierte Supply-Chain-Kampagnen hin. HiddenLayer identifizierte sechs weitere bösartige Repositories mit ähnlichen Python-Loadern.

Der Stealer implementierte mehrere Evasions-Techniken: Debugger- und Sandbox-Erkennung, VM-Detection und Deaktivation von Windows Antimalware Scan Interface (AMSI) sowie Event Tracing for Windows (ETW).

Dieser Vorfall unterstreicht kritische Schwachstellen in der Open-Source-Ökosystemsicherheit. Entwickler sollten Repositories vor dem Download verifizieren, Paketquellen überprüfen und Sicherheitswerkzeuge wie Dependency-Scanning einsetzen. Das BSI empfiehlt, nur offizielle Quellen zu nutzen und Checksummen zu validieren.

Ähnliche Artikel