Hugging Face'teki Sahte OpenAI Deposu 244.000 İndirmeden Veri Çaldı

Hugging Face yapay zeka platformunda OpenAI'ın bir gizlilik aracını taklit eden dolandırıcı bir depo, 18 saatten kısa bir sürede 244.000 kez indirilerek geliştirici kimlik bilgilerini ve kripto cüzdanlarını ele geçiren bir bilgi hırsızı yazılım dağıttı.

Kampanyayı keşfeden yapay zeka güvenlik firması HiddenLayer bir raporda, "Deponun kendisi OpenAI'ın yasal Privacy Filter sürümünü 'typosquatting' (yazım hatası kullanarak taklit etme) yöntemiyle kopyaladı ve model kartını neredeyse kelimesi kelimesine kopyaladı" dedi.

Open-OSS/privacy-filter adlı sahte depo, "beğeni" sayısını 667'ye çıkarmak için yüzlerce otomatik bot hesabı kullandı ve bu da trendlerde 1 numaraya ulaşmasına yardımcı oldu. İçerikteki loader.py betiği, altı aşamalı bir saldırı başlatarak sonuçta tarayıcı şifrelerini, Discord jetonlarını ve SSH anahtarlarını toplayan Rust tabanlı bir bilgi hırsızı yerleştirdi.

Olay, saldırganların açık kaynaklı platformların güvene dayalı yapısını suistimal edebildiği yapay zeka tedarik zincirindeki kritik bir güvenlik açığını vurguluyor. Popüler modelleri taklit ederek ve sosyal kanıtları manipüle ederek, geliştirici topluluğunun kendisini bir kötü amaçlı yazılım dağıtım ağına dönüştürebilirler; bu da kurumsal ve kişisel projelerin derinliklerine güvenlik riskleri yerleştirme tehdidi oluşturur.

Kötü Amaçlı Yazılım Nasıl Çalıştı?

Saldırı, gizlilik ve etkinlik için tasarlanmış çok aşamalı bir süreçti. Bir kullanıcı ilk Python betiğini çalıştırdıktan sonra, kullanıcıya görünür herhangi bir işaret olmaksızın bir dizi eylem gerçekleştirildi. Betik, arka planda güvenlik kontrollerini devre dışı bırakırken meşru görünmek için önce sahte model yükleme çıktıları görüntüledi.

Ardından, saldırganların depo üzerinde herhangi bir değişiklik yapmadan yükleri (payload) güncelleyebilmelerini sağlayan bir yöntem olan halka açık bir JSON yapıştırma sitesinden kodlanmış bir komut çekti. Bu komut, bir blok zinciri analiz hizmetini taklit eden api.eth-fastscan.org alan adından ikinci bir betik indiren PowerShell'e aktarıldı. Bu ikinci betik, nihai yükü indirdi: Rust ile yazılmış özel bir bilgi hırsızı. Tespit edilmekten kaçınmak için kötü amaçlı yazılım, yürütülmesinden hemen sonra kendisini silen zamanlanmış bir görev aracılığıyla yükseltilmiş ayrıcalıklarla çalışmadan önce kendisini Windows Defender'ın dışlama listesine ekledi.

Bilgi hırsızı kapsamlı olacak şekilde tasarlandı. Chrome ve Firefox tarayıcılarından kaydedilen şifreleri, oturum çerezlerini ve şifreleme anahtarlarını sızdırdı. Ayrıca Discord jetonlarını, kripto para cüzdanı anahtar kelime öbeklerini (seed phrases), SSH anahtarlarını ve FTP kimlik bilgilerini hedef alarak çalınan verileri saldırgan kontrolündeki sunuculara gönderilen sıkıştırılmış bir JSON dosyasına paketledi.

Koordineli Bir Kampanya

Bu münferit bir olay değildi. HiddenLayer araştırmacıları, "anthfu" adlı ayrı bir Hugging Face hesabı tarafından yüklenen en az altı kötü amaçlı depo daha belirledi. Bu depolar Qwen3, DeepSeek ve Bonsai gibi diğer popüler yapay zeka modellerini taklit ediyordu ve aynı komuta ve kontrol altyapısına işaret eden aynı kötü amaçlı yükleyici betiğini kullanıyordu.

Kampanya, yapay zeka geliştirici topluluğuna yönelik tedarik zinciri saldırıları için net bir oyun planı sergiliyor. Bir platformu doğrudan ihlal etmek yerine, saldırganlar inandırıcı bir benzerini yayınlayabilir, trend algoritmalarıyla oynamak için botları kullanabilir ve şüphelenmeyen geliştiricilerin kötü amaçlı yazılımı indirmesini bekleyebilirler.

Eğer Open-OSS/privacy-filter deposunu klonladıysanız ve bir Windows makinesinde oradan herhangi bir dosya çalıştırdıysanız, güvenlik uzmanları cihazın tamamen ele geçirilmiş olarak kabul edilmesini tavsiye ediyor. Tarayıcılarda saklanan tüm kimlik bilgileri değiştirilmeli, kripto fonları yeni cüzdanlara taşınmalı ve tüm SSH veya FTP anahtarları çalınmış kabul edilerek derhal yenilenmelidir.

Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.