Säkerhetsföretaget HiddenLayer har identifierat en sofistikerad attack på AI-plattformen Hugging Face. Ett skadligt kodförråd (repository) vid namn 'Open-OSS/privacy-filter' skapades för att imitera en legitim utgåva av ett integritetsfilter från OpenAI. Innan det togs bort hann det sprida skadlig programvara till ett stort antal Windows-maskiner.
Snabb spridning via plattformens topplistor
Det falska kodförrådet lyckades snabbt vinna förtroende och synlighet. På mindre än 18 timmar samlade det 667 gilla-markeringar, vilket placerade det högst upp på Hugging Faces ”trending”-lista. Enligt HiddenLayer registrerades cirka 244 000 nedladdningar, även om forskarna noterar att dessa siffror kan ha blivit artificiellt uppblåsta av angriparna för att skapa en falsk känsla av legitimitet.
Tekniska detaljer om attacken
Attacken använde en fil vid namn loader.py som var kamouflerad som standardkod för installation. Bakom kulisserna utförde skriptet flera illasinnade handlingar:
- Inaktivering av säkerhet: Skriptet stängde av SSL-verifiering.
- Hämtning av payload: Den avkodade en Base64-kodad URL från jsonkeeper.com för att hämta instruktioner för den slutgiltiga nyttolasten.
- Exekvering: Kommandon kördes via PowerShell.
- Beständighet: Genom en batch-fil skapades en schemalagd aktivitet i Windows som utformades för att se ut som en officiell Microsoft Edge-uppdatering, vilket säkerställde att den skadliga koden låg kvar i systemet.
En omfattande infostealer i Rust
Den slutgiltiga nyttolasten visade sig vara en infostealer skriven i programspråket Rust. Programvaran var specifikt utformad för att stjäla känslig information, inklusive:
- Webbläsardata från Chromium och Firefox.
- Lokala lagringsfiler från Discord.
- Inloggningsuppgifter till kryptovalutaplånböcker.
- Konfigurationer från FileZilla.
- Allmän systeminformation.
För att undvika upptäckt försökte programvaran dessutom inaktivera Windows Antimalware Scan Interface (AMSI) och Event Tracing.
Behovet av bättre kontroll i AI-register
HiddenLayer upptäckte ytterligare sex kodförråd som använde identisk infrastruktur. Sakshi Grover, expert från IDC, betonar att traditionell programvaruanalys (SCA) ofta misslyckas med att upptäcka denna typ av skadlig logik i AI-baserade register. Detta understryker behovet av en ”AI bill of materials” (AI-varudeklaration) senast år 2027.
Rekommendationer till drabbade
Hugging Face har nu tagit bort det aktuella kodförrådet. Användare som misstänker att de har laddat ned koden rekommenderas starkt att:
- Installera om operativsystemet (re-image) helt på berörda maskiner.
- Behandla alla sessioner, även de som skyddas av multifaktorautentisering (MFA), som potentiellt komprometterade.
