一个冒充 OpenAI 隐私过滤器的恶意 AI 模型存储库登顶 Hugging Face 趋势榜,通过复杂的六阶段攻击窃取开发者凭据。
返回
Hugging Face 平台虚假 OpenAI 存储库被下载 24.4 万次并窃取数据
Hugging Face AI 平台上的一个冒充 OpenAI 隐私工具的欺诈性存储库在不到 18 小时内被下载了 24.4 万次,该存储库分发了一种窃取信息的恶意软件,损害了开发者的凭据和加密货币钱包。
“该存储库本身是对 OpenAI 正式发布的 Privacy Filter 进行的拼写错误抢注(Typosquatting),几乎原封不动地复制了其模型卡,”发现此项攻击活动的 AI 安全公司 HiddenLayer 在一份报告中表示。
这个名为 Open-OSS/privacy-filter 的虚假存储库利用数百个自动化机器人账号将其“点赞”数虚增至 667 次,从而帮助其登顶趋势榜首位。其中包含的 loader.py 脚本发起了一个六阶段攻击,最终部署了一个基于 Rust 的信息窃取程序,用于收集浏览器密码、Discord 令牌和 SSH 密钥。
此事件凸显了 AI 供应链中的一个关键漏洞,攻击者可以利用开源平台基于信任的性质进行破坏。通过冒充热门模型并操纵社会证明,他们可以将开发者社区本身变成恶意软件的分发网络,威胁到企业和个人项目中深埋的安全风险。
恶意软件的工作原理
该攻击是一个多阶段过程,旨在兼顾隐蔽性和有效性。在用户运行初始 Python 脚本后,一系列操作会在用户没有任何察觉的情况下执行。脚本首先显示虚假的模型加载输出以伪装成合法程序,同时在后台禁用安全检查。
随后,它从一个公开的 JSON 粘贴网站提取编码命令——这种方法允许攻击者在不更改存储库本身的情况下更新负载。该命令被传递给 PowerShell,后者从域名 api.eth-fastscan.org(模拟区块链分析服务)下载了第二个脚本。这第二个脚本下载了最终负载:一个用 Rust 编写的自定义信息窃取程序。为了规避检测,恶意软件在通过计划任务以提升权限运行之前,将其自身添加到 Windows Defender 的排除列表中,并在执行后立即删除该任务。
该信息窃取程序设计周密。它从 Chrome 和 Firefox 浏览器中窃取保存的密码、会话 Cookie 和加密密钥。它还针对 Discord 令牌、加密货币钱包助记词、SSH 密钥和 FTP 凭据,将窃取的数据打包成压缩的 JSON 文件发送到攻击者控制的服务器。
一场协调一致的攻击活动
这并非孤立事件。HiddenLayer 研究人员发现,一个名为 “anthfu” 的独立 Hugging Face 账号至少还上传了另外六个恶意存储库。这些存储库冒充了包括 Qwen3、DeepSeek 和 Bonsai 在内的其他热门 AI 模型,并使用了指向相同命令与控制(C2)基础设施的相同恶意加载脚本。
该攻击活动展示了针对 AI 开发者社区进行供应链攻击的清晰剧本。攻击者无需直接入侵平台,只需发布一个极具说服力的仿制品,利用机器人操纵趋势算法,并等待毫无防备的开发者下载恶意软件。
如果您克隆了 Open-OSS/privacy-filter 存储库并在 Windows 机器上运行了其中的任何文件,安全专家建议将该设备视为已完全失陷。所有存储在浏览器中的凭据都应更改,加密资产应转移到新钱包,任何 SSH 或 FTP 密钥都应视为已被盗并立即更换。
本文仅供参考,不构成投资建议。
