Вредоносный репозиторий на Hugging Face, выдававший себя за релиз от OpenAI, доставлял вредоносное ПО для кражи данных (infostealer) в системы Windows и зафиксировал 244 000 загрузок до удаления, что вновь подняло вопросы о том, как предприятия получают и проверяют модели ИИ из публичных репозиториев.
Репозиторий под названием Open-OSS/privacy-filter имитировал легитимный релиз Privacy Filter от OpenAI, почти дословно копировал его карточку модели и содержал вредоносный файл loader.py, который загружал и выполнял вредоносное ПО для кражи учетных данных на хостах Windows, сообщила фирма по безопасности ИИ HiddenLayer в консультативном отчете об исследованиях.
«Репозиторий достиг №1 в списке трендов на Hugging Face с примерно 244 тысячами загрузок и 667 лайками менее чем за 18 часов — цифры, которые почти наверняка были искусственно завышены, чтобы репозиторий выглядел легитимным», — добавлено в отчете.
Этот инцидент подчеркивает растущую обеспокоенность тем, что публичные реестры моделей ИИ становятся новым риском для цепочки поставок программного обеспечения для предприятий, особенно с учетом того, что разработчики и специалисты по данным все чаще клонируют модели с открытым исходным кодом непосредственно в корпоративные среды, имея доступ к исходному коду, облачным учетным данным и внутренним системам.
Файл README, сопровождавший поддельную модель, отличался от легитимного проекта в одном ключевом аспекте: он предписывал пользователям запускать start.bat в Windows или выполнять python loader.py в Linux и macOS.
Исследователи ранее обнаруживали вредоносный код, скрытый внутри сериализованных в Pickle файлов моделей на Hugging Face, который обходил сканеры платформы. Они также предупреждали, что цепочка поставок ИИ отстает от традиционного программного обеспечения в плане надзора и инструментов.
Вредоносный загрузчик, замаскированный под легитимную настройку модели
По данным HiddenLayer, скрипт loader.py сначала выполняет отвлекающий код, имитирующий легитимный загрузчик модели ИИ, прежде чем запустить скрытую цепочку заражения.
Скрипт отключал проверку SSL, декодировал URL-адрес, закодированный в Base64 и связанный с публичным сервисом хостинга JSON jsonkeeper.com, извлекал удаленную инструкцию полезной нагрузки и передавал команды в PowerShell. «Использование jsonkeeper[.]com в качестве C2-канала позволяет злоумышленнику ротировать полезную нагрузку без изменения репозитория», — писали исследователи.
Полученная команда PowerShell загружала дополнительный пакетный файл с домена, контролируемого злоумышленником, и устанавливала постоянство, создавая запланированную задачу, предназначенную для имитации процесса обновления легитимного Microsoft Edge.
В конечном итоге цепочка заражения развернула написанный на Rust infostealer, нацеленный на браузеры на базе Chromium и Firefox, локальное хранилище Discord, криптовалютные кошельки, конфигурации FileZilla и информацию о хост-системе, говорится в отчете.
Вредоносное ПО также пыталось отключить Windows Antimalware Scan Interface и Event Tracing for Windows, одновременно проверяя наличие сред песочницы и виртуальных машин для обхода анализа.
Часть более широкой атаки на цепочку поставок ИИ
HiddenLayer в своем отчете сообщила, что выявила шесть дополнительных репозиториев Hugging Face, загруженных под отдельной учетной записью, которые использовали почти идентичную логику загрузчика и общую инфраструктуру с этой кампанией.
Исследователи также связали элементы операции с более ранними атаками на цепочку поставок программного обеспечения, связанными с кампаниями по тайпосквоттингу npm и поддельными пакетами ИИ, распространяемыми через PyPI. Общая инфраструктура «подразумевает, что эти кампании, возможно, связаны и, вероятно, являются частью более широкой операции по цепочке поставок, нацеленной на экосистемы с открытым исходным кодом», — написала HiddenLayer.
Инцидент последовал за предыдущими предупреждениями исследователей о вредоносном коде, внедренном в AI-модели, сериализованные в Pickle на Hugging Face, а также об отдельных кампаниях, связанных с отравленными SDK для ИИ и поддельными установщиками OpenClaw.
Традиционные средства контроля безопасности не справляются
Аналитики заявили, что инцидент также выявил ограничения существующих инструментов анализа состава программного обеспечения (SCA) и безопасности приложений при их применении к артефактам ИИ.
«Традиционный SCA был разработан для проверки манифестов зависимостей, библиотек и образов контейнеров, а не для все более сложных действий, связанных с рабочими процессами разработки ИИ», — сказала Сакши Гровер, старший менеджер по исследованиям услуг кибербезопасности в IDC. «Он гораздо менее эффективен для выявления вредоносной логики загрузчика, скрытой в кажущихся легитимными репозиториях ИИ».
Джайшив Пракаш, директор-аналитик Gartner, заявил, что предприятиям теперь необходимы выделенные элементы управления для реестров ИИ на самом уровне.
«Предприятия должны установить выделенные элементы управления для источников моделей, утвержденных версий, доступа и проверки во время выполнения на уровне реестра», — сказал Пракаш, добавив, что репозитории моделей распространяют исполняемые артефакты и встроенную логику, которые часто выходят за рамки эффективной области действия традиционных инструментов SCA.
В отчете IDC FutureScape за ноябрь 2025 года прогнозируется, что к 2027 году 60% предприятий, развертывающих агентные системы ИИ, потребуют ведомости материалов ИИ (AI bill of materials) для обеспечения непрерывного сканирования уязвимостей и гарантии соответствия требованиям, сказала Гровер.
Что предприятиям следует предпринять сейчас
HiddenLayer настоятельно рекомендовала затронутым пользователям считать скомпрометированными затронутые системы и отдавать приоритет переустановке образов, а не усилиям по очистке.
«Если вы клонировали Open-OSS/privacy-filter и выполнили start.bat, python loader.py или любой файл из репозитория на хосте Windows, считайте систему полностью скомпрометированной», — говорится в отчете. Сеансы браузера также следует считать скомпрометированными, даже если пароли не хранились локально, добавили исследователи, поскольку украденные сессионные куки могут обойти защиту многофакторной аутентификации.
Компания также рекомендовала заблокировать указанные индикаторы компрометации, сменить учетные данные, аннулировать активные сеансы и провести исторический поиск в сети на предмет соединений, связанных с кампанией.
Hugging Face подтвердила HiddenLayer, что репозиторий нарушил их условия обслуживания, и удалила его с платформы, согласно отчету.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
