Ψεύτικο repository OpenAI στο Hugging Face διένειμε infostealer malware με 244.000 downloads

Η εταιρεία κυβερνοασφάλειας HiddenLayer αποκάλυψε στις 7 Μαΐου 2025 μια ενεργή κακόβουλη καμπάνια στην πλατφόρμα Hugging Face. Οι ερευνητές εντόπισαν ένα κακόβουλο repository με την ονομασία Open-OSS/privacy-filter, το οποίο στόχευε developers και ερευνητές που χρησιμοποιούν AI εργαλεία.

Typosquatting εναντίον OpenAI

Το repository είχε κάνει typosquatting στο επίσημο Privacy Filter της OpenAI, αντέγραψε σχεδόν αυτούσιο το model card του και συμπεριέλαβε ένα αρχείο loader.py που ανακτούσε και εκτελούσε infostealer malware σε Windows μηχανήματα.

Το Python script loader.py περιείχε ψεύτικο AI-related κώδικα για να φαίνεται αβλαβές, αλλά στο παρασκήνιο απενεργοποιούσε την SSL verification, αποκωδικοποιούσε ένα base64 URL που οδηγούσε σε εξωτερικό resource, και κατόπιν ανακτούσε και εκτελούσε ένα JSON payload που περιείχε PowerShell εντολή. Η τεχνική αυτή επιτρέπει στο κακόβουλο κώδικα να παρακάμπτει βασικές στατικές αναλύσεις, καθώς το αρχείο φαίνεται νόμιμο σε πρώτη εξέταση.

Rust-based infostealer: τι έκλεβε

Το τελικό payload ήταν ένας Rust-based infostealer που στόχευε δεδομένα από browsers βασισμένους σε Chromium και Gecko — συμπεριλαμβανομένων cookies, αποθηκευμένων κωδικών πρόσβασης, encryption keys, δεδομένων περιήγησης και session tokens.

Τα κλεμμένα δεδομένα συμπιέζονταν και εξάγονταν σε command-and-control (C2) server στη διεύθυνση recargapopular[.]com. Το malware διέθετε εκτεταμένες anti-analysis δυνατότητες, με ελέγχους για virtual machines, sandboxes, debuggers και εργαλεία ανάλυσης, με σκοπό να αποφύγει τα συστήματα ανίχνευσης.

244.000 downloads — αλλά πόσα πραγματικά θύματα;

Ο ακριβής αριθμός θυμάτων παραμένει άγνωστος. Οι ερευνητές σημειώνουν ότι η συντριπτική πλειοψηφία των 667 λογαριασμών που έκαναν like στο κακόβουλο repository φαίνεται να είναι αυτόματα δημιουργημένοι, ενώ ο αριθμός των 244.000 downloads πιθανόν να είχε τεχνητά διογκωθεί.

Εξετάζοντας αυτά τα προφίλ, οι ερευνητές εντόπισαν και άλλα repositories που χρησιμοποιούσαν την ίδια κακόβουλη loader υποδομή. Αυτό υποδηλώνει ότι πρόκειται για οργανωμένη και συντονισμένη καμπάνια, όχι μεμονωμένο περιστατικό.

Το Hugging Face ως επαναλαμβανόμενος στόχος

Το Hugging Face είναι η πλατφόρμα που επιτρέπει σε developers και ερευνητές να μοιράζονται AI models, datasets και εργαλεία machine learning — τα models είναι προεκπαιδευμένα AI συστήματα που φιλοξενούνται στην πλατφόρμα και περιλαμβάνουν weight files, configuration και κώδικα. Αυτή ακριβώς η ανοιχτή αρχιτεκτονική της πλατφόρμας την καθιστά ελκυστικό στόχο.

Κακόβουλοι παράγοντες έχουν κατά καιρούς καταχραστεί το Hugging Face για να φιλοξενούν κακόβουλα models, παρά τα μέτρα ασφαλείας της πλατφόρμας. Μέχρι τις αρχές Απριλίου 2025, η Protect AI είχε σαρώσει 4,47 εκατομμύρια μοναδικές εκδόσεις models σε 1,41 εκατομμύρια repositories στο Hugging Face Hub, εντοπίζοντας συνολικά 352.000 προβληματικά ή ύποπτα ζητήματα σε 51.700 models.

Το Hugging Face έχει ήδη συνεργαστεί με τις JFrog και Wiz για τη βελτίωση των δυνατοτήτων σάρωσης, με την ενσωμάτωση της JFrog να έχει εξαλείψει το 96% των false positives στην ανίχνευση κακόβουλων models. Ωστόσο, η παρούσα επίθεση απέδειξε ότι η προσέγγιση typosquatting με legitimate-looking Python κώδικα μπορεί να παρακάμψει αυτές τις άμυνες.

Για όσους χρησιμοποιούν Hugging Face: να επαληθεύετε πάντα τον δημιουργό ενός repository, να ελέγχετε την ιστορία commits και να αποφεύγετε την εκτέλεση Python scripts από μη επαληθευμένες πηγές χωρίς προηγούμενη επιθεώρηση του κώδικα.

Πηγές

• BleepingComputer — Fake OpenAI repository on Hugging Face pushes infostealer malware
• Hugging Face / Protect AI — 4M Models Scanned: 6 Months In
• The Next Web — Hugging Face and ClawHub compromised with malicious AI models