Un repository OpenAI fasullo su Hugging Face ha totalizzato circa 244.000 download. È diventato un argomento di tendenza sulla piattaforma prima di essere rimosso. Il repository fasullo distribuiva un malware Rust che rubava dati del browser, portafogli di criptovalute e segreti degli sviluppatori dai computer Windows.
I ricercatori di sicurezza di HiddenLayer hanno individuato il repository dannoso nello spazio dei nomi "Open-OSS/privacy-filter". Si trattava di un typosquat del modello originale di Filtro per la privacy di OpenAI, rilasciato il mese scorso.
La falsa inserzione copiava la scheda modello di OpenAI e aggiungeva istruzioni che invitavano gli utenti a clonare il repository ed eseguire lo script.
Gli aggressori hanno utilizzato un filtro per la privacy OpenAI falso.
Il filtro privacy di OpenAI è un modello di ponderazione aperto che rileva e oscura le informazioni di identificazione personale nei testi.
La versione ufficiale era distribuita con licenza Apache 2.0 sia su Hugging Face che su GitHub. Gli sviluppatori si aspettavano di trovare codice eseguibile e script di configurazione nel repository ufficiale.
Ma gli hacker hanno sfruttato le aspettative degli sviluppatori. Hanno pubblicato un repository identico sotto un namespace diverso, con un marchio familiare e una documentazione quasi identica.
Un file Python denominato loader, che a prima vista sembrava un normale codice di caricamento del modello, conteneva una classe DummyModel fittizia e un output di addestramento falso.
Lo script conteneva una funzione che disabilitava la verifica SSL, decodificava un URL segreto e riceveva un comando da JSON Keeper. JSON Keeper è un servizio pubblico di condivisione di file JSON. Consente all'attaccante di scambiare i payload senza interagire con il repository.
Il comando ha avviato un processo nascosto di Windows PowerShell. Uno script batch che simula un'API di analisi blockchain ha tentato di elevare i privilegi.
Ha tentato di aggiungere esclusioni di Microsoft Defender per la directory del payload. Il comando ha quindi rilasciato il binario finale tramite un'attività pianificata una tantum che sembrava un aggiornamento di Microsoft Edge.
Successivamente, è stato consegnato un eseguibile Rust di 1,07 MB. Questo ha estratto dati del browser, token Discord, file di portafogli di criptovalute e credenziali SSH, FTP e VPN. I dati rubati sono stati inviati a un server di comando e controllo (C2).
Il malware è riuscito inoltre a eludere macchine virtuali, sandbox e debugger, nel caso in cui i ricercatori avessero impostato un'analisi automatizzata.
I 244.000 download non significano infezioni confermate. Non è noto quanti utenti abbiano eseguito i file dannosi.
Né OpenAI né Hugging Face hanno rilasciato dichiarazioni pubbliche. Le prove disponibili indicano solo un caso di impersonificazione della piattaforma. Non vi è stata alcuna compromissione né di OpenAI né di Hugging Face.
Il lancio del filtro per la privacy di OpenAI ha generato traffico di ricerca da parte degli sviluppatori.
Procedura per chiunque abbia clonato il repository
Chiunque abbia clonato il repository ed eseguito gli script dannosi dovrebbe considerare il proprio computer Windows compromesso. L'unica soluzione efficace per rimuovere i file dannosi è reinstallare il sistema operativo.
Accedere a qualsiasi account sul dispositivo infetto comporta il rischio di un'ulteriore esposizione. I ricercatori in materia di sicurezza raccomandano di ruotare tutte le credenziali memorizzate nei browser, nei gestori di password o negli archivi di credenziali del dispositivo. Ciò include password salvate, cookie di sessione, token OAuth, chiavi SSH e token dei provider cloud.
I fondi in criptovalute devono essere trasferiti in un nuovo portafoglio creato su un dispositivo funzionante.
A marzo, alcuni ricercatori di sicurezza hanno identificato un pacchetto npm dannoso camuffato da programma di installazione per lo strumento di intelligenza artificiale OpenClaw. Il pacchetto, denominato GhostLoader, si installava come servizio di telemetria nascosto e scansionava gli archivi delle credenziali degli agenti di intelligenza artificiale.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .