Hugging Face上の偽のOpenAIリポジトリが約24万回ダウンロードされました。プラットフォームでトレンド入りした後に削除されました。その偽リポジトリは、Windowsコンピュータ上のブラウザデータ、暗号通貨ウォレット、開発者の秘密を抽出するRustのスティーラーを提供していました。HiddenLayerのセキュリティ研究者は、「Open-OSS/privacy-filter」という名前空間の下で悪意のあるリポジトリを発見しました。これは、先月リリースされたOpenAIの本物のプライバシーフィルタモデルのタイポスクワットでした。偽のリストはOpenAIのモデルカードをコピーし、ユーザーにリポジトリをクローンしてスクリプトを実行するよう指示を付け加えていました。攻撃者は偽のOpenAI Privacy Filterを使用OpenAIの本物のPrivacy Filterは、テキスト内の個人識別情報を検出して赤字化するオープンウェイトモデルです。正式リリースは、Hugging FaceとGitHubの両方でApache 2.0ライセンスの下で公開されていました。開発者は、実行可能なコードとセットアップスクリプトを期待していました。しかし、攻撃者は開発者の期待を悪用しました。彼らは、異なる名前空間に似たブランドとほぼ同じドキュメントを持つリポジトリを公開しました。loaderというPythonファイルは、通常のモデル読み込みコードのように見えましたが、偽のDummyModelクラスと偽のトレーニング出力を含んでいました。このスクリプトには、SSL検証を無効にし、秘密のURLをデコードし、JSON Keeperからコマンドを受信する関数がありました。JSON Keeperは公開されたJSONペーストサービスであり、攻撃者がペイロードを切り替えることを可能にします。コマンドは、隠されたWindows PowerShellプロセスを起動しました。ブロックチェーン分析APIを模倣したバッチスクリプトは、権限を増やそうとしました。次に、ペイロードディレクトリのMicrosoft Defender除外設定を追加しようとしました。その後、Microsoft Edgeのアップデータのように見える一時スケジュールジョブを通じて完成したバイナリをリリースしました。次に、1.07MBのRust実行ファイルが配布されました。これには、ブラウザデータ、Discordトークン、暗号通貨ウォレットファイル、SSH、FTP、VPNの資格情報が抽出され、コマンド&コントロール(C2)サーバーに送信されました。マルウェアはまた、仮想マシン、サンドボックス、デバッガを回避し、研究者が自動分析を設定しても検出されにくくしていました。偽のOpenAIリポジトリのスクリーンショット。出典:HiddenLayer。24万回のダウンロードは感染が確認されたことを意味しません。何人のユーザーが悪意のあるファイルを実行したかは不明です。OpenAIもHugging Faceも公式声明を出していません。入手可能な証拠は、プラットフォームのなりすましのみを示しています。OpenAIやHugging Faceのいずれも侵害されていません。OpenAIのPrivacy Filterのリリースは、開発者からの検索トラフィックを引き起こしました。リポジトリをクローンした人向けの手順リポジトリをクローンし、悪意のあるスクリプトを実行した人は、自分のWindowsマシンが侵害された可能性を考慮すべきです。マルウェアを除去する最も効果的な方法は、マシンの再イメージ化です。影響を受けたマシンのアカウントにログインすることは、さらなる情報漏洩のリスクを伴います。セキュリティ研究者は、ブラウザやパスワードマネージャー、資格情報ストアに保存されているすべての資格情報を変更することを推奨します。これには、保存されたパスワード、セッションクッキー、OAuthトークン、SSHキー、クラウドプロバイダーのトークンが含まれます。暗号資産は、新しいウォレットに移動し、健全なデバイス上で作成してください。3月に、セキュリティ研究者は、AIツールOpenClawのインストーラーに偽装された悪意のあるnpmパッケージを特定しました。これはシステムのパスワードと暗号通貨ウォレットを狙ったものでした。そのパッケージはGhostLoaderと名付けられ、隠されたテレメトリサービスとしてインストールされ、AIエージェントの資格情報ストアをスキャンしました。暗号ニュースを読むだけでなく、それを理解してください。私たちのニュースレターに登録しましょう。無料です。
偽造プライバシーフィルターモデルが削除前にトップトレンドに到達しました
Hugging Face上の偽のOpenAIリポジトリが約24万回ダウンロードされました。プラットフォームでトレンド入りした後に削除されました。その偽リポジトリは、Windowsコンピュータ上のブラウザデータ、暗号通貨ウォレット、開発者の秘密を抽出するRustのスティーラーを提供していました。
HiddenLayerのセキュリティ研究者は、「Open-OSS/privacy-filter」という名前空間の下で悪意のあるリポジトリを発見しました。これは、先月リリースされたOpenAIの本物のプライバシーフィルタモデルのタイポスクワットでした。
偽のリストはOpenAIのモデルカードをコピーし、ユーザーにリポジトリをクローンしてスクリプトを実行するよう指示を付け加えていました。
攻撃者は偽のOpenAI Privacy Filterを使用
OpenAIの本物のPrivacy Filterは、テキスト内の個人識別情報を検出して赤字化するオープンウェイトモデルです。
正式リリースは、Hugging FaceとGitHubの両方でApache 2.0ライセンスの下で公開されていました。開発者は、実行可能なコードとセットアップスクリプトを期待していました。
しかし、攻撃者は開発者の期待を悪用しました。彼らは、異なる名前空間に似たブランドとほぼ同じドキュメントを持つリポジトリを公開しました。
loaderというPythonファイルは、通常のモデル読み込みコードのように見えましたが、偽のDummyModelクラスと偽のトレーニング出力を含んでいました。
このスクリプトには、SSL検証を無効にし、秘密のURLをデコードし、JSON Keeperからコマンドを受信する関数がありました。JSON Keeperは公開されたJSONペーストサービスであり、攻撃者がペイロードを切り替えることを可能にします。
コマンドは、隠されたWindows PowerShellプロセスを起動しました。ブロックチェーン分析APIを模倣したバッチスクリプトは、権限を増やそうとしました。
次に、ペイロードディレクトリのMicrosoft Defender除外設定を追加しようとしました。その後、Microsoft Edgeのアップデータのように見える一時スケジュールジョブを通じて完成したバイナリをリリースしました。
次に、1.07MBのRust実行ファイルが配布されました。これには、ブラウザデータ、Discordトークン、暗号通貨ウォレットファイル、SSH、FTP、VPNの資格情報が抽出され、コマンド&コントロール(C2)サーバーに送信されました。
マルウェアはまた、仮想マシン、サンドボックス、デバッガを回避し、研究者が自動分析を設定しても検出されにくくしていました。
偽のOpenAIリポジトリのスクリーンショット。出典:HiddenLayer。
24万回のダウンロードは感染が確認されたことを意味しません。何人のユーザーが悪意のあるファイルを実行したかは不明です。
OpenAIもHugging Faceも公式声明を出していません。入手可能な証拠は、プラットフォームのなりすましのみを示しています。OpenAIやHugging Faceのいずれも侵害されていません。
OpenAIのPrivacy Filterのリリースは、開発者からの検索トラフィックを引き起こしました。
リポジトリをクローンした人向けの手順
リポジトリをクローンし、悪意のあるスクリプトを実行した人は、自分のWindowsマシンが侵害された可能性を考慮すべきです。マルウェアを除去する最も効果的な方法は、マシンの再イメージ化です。
影響を受けたマシンのアカウントにログインすることは、さらなる情報漏洩のリスクを伴います。セキュリティ研究者は、ブラウザやパスワードマネージャー、資格情報ストアに保存されているすべての資格情報を変更することを推奨します。これには、保存されたパスワード、セッションクッキー、OAuthトークン、SSHキー、クラウドプロバイダーのトークンが含まれます。
暗号資産は、新しいウォレットに移動し、健全なデバイス上で作成してください。
3月に、セキュリティ研究者は、AIツールOpenClawのインストーラーに偽装された悪意のあるnpmパッケージを特定しました。これはシステムのパスワードと暗号通貨ウォレットを狙ったものでした。そのパッケージはGhostLoaderと名付けられ、隠されたテレメトリサービスとしてインストールされ、AIエージェントの資格情報ストアをスキャンしました。
暗号ニュースを読むだけでなく、それを理解してください。私たちのニュースレターに登録しましょう。無料です。