Hugging Face 上の偽 OpenAI リポジトリ、24.4 万件のダウンロードからデータを窃取

AI プラットフォームの Hugging Face 上で、OpenAI のプライバシーツールになりすました不正なリポジトリが 18 時間足らずで 24.4 万回ダウンロードされ、開発者の認証情報や暗号資産ウォレットを侵害する情報窃取型マルウェアを拡散させました。

このキャンペーンを発見した AI セキュリティ企業 HiddenLayer はレポートの中で、「リポジトリ自体は OpenAI が正当にリリースした Privacy Filter の名称をタイポスクワッティング（打ち間違いを狙った偽装）しており、モデルカードをほぼそのままコピーしていた」と述べています。

Open-OSS/privacy-filter と名付けられたこの偽リポジトリは、数百の自動ボットアカウントを使用して「いいね」の数を 667 まで水増しし、トレンド 1 位への浮上を助けました。同梱されていた loader.py スクリプトは 6 段階の攻撃を開始し、最終的にブラウザのパスワード、Discord トークン、SSH キーを収集する Rust ベースのインフォスティーラー（情報窃取ツール）を配備しました。

この事件は、攻撃者がオープンソースプラットフォームの信頼ベースの性質を悪用できる、AI サプライチェーンにおける重大な脆弱性を浮き彫りにしています。人気のモデルになりすまし、ソーシャルプルーフ（社会的証明）を操作することで、開発者コミュニティ自体をマルウェアの配布ネットワークに変貌させ、企業や個人のプロジェクトの深部にセキュリティリスクを埋め込む脅威となります。

マルウェアの仕組み

攻撃は、隠密性と効果を狙って設計された多段階のプロセスでした。ユーザーが最初の Python スクリプトを実行すると、ユーザーには一切の兆候が見えない状態で一連のアクションが実行されました。スクリプトはまず、バックグラウンドでセキュリティチェックを無効にしながら、正当なプログラムに見せかけるために偽のモデル読み込み出力を表示しました。

次に、攻撃者がリポジトリ自体を変更せずにペイロードを更新できる手法である、公開 JSON 投稿サイトからエンコードされたコマンドを取得しました。このコマンドは PowerShell に渡され、ブロックチェーン分析サービスを模倣したドメイン api.eth-fastscan.org から 2 番目のスクリプトをダウンロードしました。この 2 番目のスクリプトが、Rust で書かれたカスタムインフォスティーラーという最終的なペイロードをダウンロードしました。検知を避けるため、マルウェアは実行直後に自身を削除するタスクスケジュールを介して昇格した権限で実行される前に、自身を Windows Defender の除外リストに追加しました。

インフォスティーラーは徹底的に設計されていました。Chrome および Firefox ブラウザから保存されたパスワード、セッションクッキー、暗号化キーを流出させました。また、Discord トークン、暗号資産ウォレットのシードフレーズ、SSH キー、FTP 認証情報も標的とし、盗み出したデータを圧縮された JSON ファイルにパッケージ化して攻撃者が制御するサーバーに送信しました。

組織的なキャンペーン

これは単発の出来事ではありませんでした。HiddenLayer の研究者は、「anthfu」という別の Hugging Face アカウントによってアップロードされた少なくとも 6 つの他の悪意のあるリポジトリを特定しました。これらのリポジトリは、Qwen3、DeepSeek、Bonsai などの他の人気 AI モデルになりすまし、同じコマンドアンドコントロール（C2）インフラを指す同じ悪意のあるローダースクリプトを使用していました。

このキャンペーンは、AI 開発者コミュニティに対するサプライチェーン攻撃の明確な手法を示しています。プラットフォームを直接侵害する代わりに、説得力のある模倣品を公開し、ボットを使ってトレンドアルゴリズムを操作し、疑うことを知らない開発者がマルウェアをダウンロードするのを待つのです。

もし Open-OSS/privacy-filter リポジトリをクローンし、Windows マシン上でその中のファイルを実行した場合は、セキュリティの専門家はそのデバイスが完全に侵害されたものとして扱うよう助言しています。ブラウザに保存されているすべての認証情報を変更し、暗号資産を新しいウォレットに移動させ、SSH や FTP のキーは盗まれたものとみなして直ちに更新する必要があります。

この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。