#### 要約* OpenAIのプライバシーフィルタモデルを偽装した悪意のあるHugging Faceリポジトリが、プラットフォームで#1のトレンドに到達した。* マルウェアは約18時間以内に約24万4千回のダウンロードと667のいいねを記録し、削除された。* そのリポジトリは、ブラウザのパスワード、Discordトークン、暗号通貨ウォレットの鍵、SSH資格情報を収集する6段階の情報窃盗ツールを配布し、静かに攻撃者管理のサーバーに送信した。OpenAIは4月下旬にプライバシーフィルタを公開した—個人識別情報を検出し自動的に赤字化するために作られた小型のオープンウェイトモデルだ。Apache 2.0ライセンスの下でHugging Faceに掲載され、開発者の関心を集めた。誰かが気づいた。数日以内に、「Open-OSS」という偽アカウントがほぼ同一のリポジトリ「_privacy-filter_」を公開した。モデルカードはOpenAIのものをそのままコピーしていた。「readme」ファイルの唯一の違いは、Windowsでは_repoをクローンして_start.bat_というファイルを実行、LinuxとMacでは_loader.py_を実行する指示だった。18時間以内に、その偽リポジトリはHugging Faceのトレンドページで#1に達し、約24万4千回のダウンロードと667のいいねを獲得した。AIセキュリティ企業のHiddenLayerは、そのうち657のいいねが予測可能な自動生成ボット名付けパターンに一致するアカウントからのものだと指摘した。ダウンロード数もほぼ同じ方法で水増しされた可能性が高い。社会的証明を偽装して、餌を本物のように見せかけたのだ。**マルウェアの実際の仕組み**このマルウェアは、非常に説得力のあるキャンディコーティングに包まれた毒入りの錠剤のように機能した。_loader.py_スクリプトは、偽のモデル訓練出力—進行バー、合成データセット、ダミーのクラス名—を表示し、実際のAIローダーのように見せかけている。内部では、静かにセキュリティチェックを無効にし、公開されたJSONペーストサイトからエンコードされたコマンドを取得(ペイロードが変わってもリポジトリを更新する必要がない巧妙な手法)、そのコマンドをPowerShellに渡して完全に隠れた状態で実行させる。Windowsユーザーには何も見えない。<span style="display:inline-block;width:0px;overflow:hidden;line-height:0" data-mce-type="bookmark" class="mce_SELRES_start"></span>そのコマンドは、ブロックチェーン分析APIを模倣したドメインから2つ目のスクリプトをダウンロードし、実際のマルウェア—Rustで書かれたカスタム情報窃盗ツール—をダウンロードする。その後、Windows Defenderの除外リストに追加し、SYSTEMレベルの権限でスケジュールされたタスクを通じて起動し、実行後すぐに自己削除する。この一連の動作は自己完結し、ほとんど痕跡を残さない。最終的なペイロードは徹底的だ。ChromeとFirefoxに保存されたパスワード、セッションクッキー、ブラウザ履歴、暗号化キーなどすべてを収集し、Discordアカウント、暗号通貨ウォレットのシードフレーズ、SSHキー、FTP資格情報もターゲットにし、すべてのモニターのスクリーンショットを撮る。その後、すべてを圧縮されたJSONバンドルにまとめ、攻撃者管理のサーバーに送信する。これらの情報を後でハッカーが何に使うかは、私たちが言うまでもない。マルウェアは仮想マシンやセキュリティサンドボックス内で動作しているかどうかも確認し、検出した場合は静かに終了する設計だ。本物のターゲットに一度だけ実行され、すべてを盗み去り、姿を消す。**なぜこれが単なる一つのリポジトリ以上の規模なのか**これは孤立した事件ではない。パターンの一部だ。HiddenLayerは、4月下旬にアップロードされた「anthfu」という別のHugging Faceアカウントの6つの追加リポジトリを特定した。これらも同じ悪意のあるローダーを使い、同じコマンドサーバーを指していた。それらのリポジトリは、Qwen3、DeepSeek、Bonsaiなどのモデルを偽装し、AI開発者を騙そうとした。インフラ自体も、_api.eth-fastscan.org_というドメインで、コマンドサーバーにビーコンを送る別のマルウェアサンプルをホスティングしているのが確認された。HiddenLayerは、両キャンペーン間の関連性は「おそらくリンクしている」と考えており、共有インフラだけでは単一の運営者を特定できないと警告している。これはAI開発者コミュニティに対するサプライチェーン攻撃の一例だ。攻撃者はOpenAIやHugging Faceに侵入せず、説得力のある模倣品を公開し、トレンドアルゴリズムをボットで操作し、開発者に行動させるのを待つだけだ。2024年には、同じ手口でLottie PlayerのJavaScriptライブラリに攻撃が仕掛けられ、1人のユーザーが10ビットコイン(当時約70万ドル相当)を失った例もある。**もしダウンロードしてしまったらどうするか?**Windowsマシンで_open-OSS/privacy-filter_をクローンし、何らかのファイルを実行した場合、そのデバイスは完全に侵害されたとみなすべきだ。そのマシンから何もログインしないで、まず初めにすべてを消去しよう。その後、ブラウザに保存されている資格情報—パスワード、セッションクッキー、OAuthトークン—をすべて変更し、暗号資産を新しいクリーンなデバイスで生成したウォレットに移動し、シードフレーズも盗まれたと考えるべきだ。また、Discord情報も取得されているため、そのサービスは自動化されていることを考慮し、セッションを無効化し、パスワードをリセットしよう。SSHキーやFTP資格情報も「焼き尽くされた」とみなすべきだ。リポジトリは現在削除されている。Hugging Faceは、トレンドリポジトリに対して追加の審査措置を実施するかどうかを公表していない。現時点で、このキャンペーンに関連する悪意のあるリポジトリは7つ確認されている。これ以上のリポジトリが存在したのか、または検出前に存在していたのかは不明だ。
フェイクOpenAIリポジトリがHugging Faceで第1位にランクイン—トレンド入り中にパスワードを盗む
要約
OpenAIは4月下旬にプライバシーフィルタを公開した—個人識別情報を検出し自動的に赤字化するために作られた小型のオープンウェイトモデルだ。Apache 2.0ライセンスの下でHugging Faceに掲載され、開発者の関心を集めた。誰かが気づいた。 数日以内に、「Open-OSS」という偽アカウントがほぼ同一のリポジトリ「privacy-filter」を公開した。モデルカードはOpenAIのものをそのままコピーしていた。「readme」ファイルの唯一の違いは、Windowsでは_repoをクローンして_start.bat_というファイルを実行、LinuxとMacでは_loader.py_を実行する指示だった。 18時間以内に、その偽リポジトリはHugging Faceのトレンドページで#1に達し、約24万4千回のダウンロードと667のいいねを獲得した。AIセキュリティ企業のHiddenLayerは、そのうち657のいいねが予測可能な自動生成ボット名付けパターンに一致するアカウントからのものだと指摘した。
ダウンロード数もほぼ同じ方法で水増しされた可能性が高い。社会的証明を偽装して、餌を本物のように見せかけたのだ。 マルウェアの実際の仕組み このマルウェアは、非常に説得力のあるキャンディコーティングに包まれた毒入りの錠剤のように機能した。_loader.py_スクリプトは、偽のモデル訓練出力—進行バー、合成データセット、ダミーのクラス名—を表示し、実際のAIローダーのように見せかけている。 内部では、静かにセキュリティチェックを無効にし、公開されたJSONペーストサイトからエンコードされたコマンドを取得(ペイロードが変わってもリポジトリを更新する必要がない巧妙な手法)、そのコマンドをPowerShellに渡して完全に隠れた状態で実行させる。Windowsユーザーには何も見えない。
そのコマンドは、ブロックチェーン分析APIを模倣したドメインから2つ目のスクリプトをダウンロードし、実際のマルウェア—Rustで書かれたカスタム情報窃盗ツール—をダウンロードする。その後、Windows Defenderの除外リストに追加し、SYSTEMレベルの権限でスケジュールされたタスクを通じて起動し、実行後すぐに自己削除する。この一連の動作は自己完結し、ほとんど痕跡を残さない。 最終的なペイロードは徹底的だ。ChromeとFirefoxに保存されたパスワード、セッションクッキー、ブラウザ履歴、暗号化キーなどすべてを収集し、Discordアカウント、暗号通貨ウォレットのシードフレーズ、SSHキー、FTP資格情報もターゲットにし、すべてのモニターのスクリーンショットを撮る。その後、すべてを圧縮されたJSONバンドルにまとめ、攻撃者管理のサーバーに送信する。 これらの情報を後でハッカーが何に使うかは、私たちが言うまでもない。 マルウェアは仮想マシンやセキュリティサンドボックス内で動作しているかどうかも確認し、検出した場合は静かに終了する設計だ。本物のターゲットに一度だけ実行され、すべてを盗み去り、姿を消す。 なぜこれが単なる一つのリポジトリ以上の規模なのか これは孤立した事件ではない。パターンの一部だ。HiddenLayerは、4月下旬にアップロードされた「anthfu」という別のHugging Faceアカウントの6つの追加リポジトリを特定した。これらも同じ悪意のあるローダーを使い、同じコマンドサーバーを指していた。 それらのリポジトリは、Qwen3、DeepSeek、Bonsaiなどのモデルを偽装し、AI開発者を騙そうとした。 インフラ自体も、_api.eth-fastscan.org_というドメインで、コマンドサーバーにビーコンを送る別のマルウェアサンプルをホスティングしているのが確認された。HiddenLayerは、両キャンペーン間の関連性は「おそらくリンクしている」と考えており、共有インフラだけでは単一の運営者を特定できないと警告している。 これはAI開発者コミュニティに対するサプライチェーン攻撃の一例だ。攻撃者はOpenAIやHugging Faceに侵入せず、説得力のある模倣品を公開し、トレンドアルゴリズムをボットで操作し、開発者に行動させるのを待つだけだ。2024年には、同じ手口でLottie PlayerのJavaScriptライブラリに攻撃が仕掛けられ、1人のユーザーが10ビットコイン(当時約70万ドル相当)を失った例もある。 もしダウンロードしてしまったらどうするか? Windowsマシンで_open-OSS/privacy-filter_をクローンし、何らかのファイルを実行した場合、そのデバイスは完全に侵害されたとみなすべきだ。そのマシンから何もログインしないで、まず初めにすべてを消去しよう。
その後、ブラウザに保存されている資格情報—パスワード、セッションクッキー、OAuthトークン—をすべて変更し、暗号資産を新しいクリーンなデバイスで生成したウォレットに移動し、シードフレーズも盗まれたと考えるべきだ。 また、Discord情報も取得されているため、そのサービスは自動化されていることを考慮し、セッションを無効化し、パスワードをリセットしよう。SSHキーやFTP資格情報も「焼き尽くされた」とみなすべきだ。 リポジトリは現在削除されている。Hugging Faceは、トレンドリポジトリに対して追加の審査措置を実施するかどうかを公表していない。 現時点で、このキャンペーンに関連する悪意のあるリポジトリは7つ確認されている。これ以上のリポジトリが存在したのか、または検出前に存在していたのかは不明だ。