Модель поддельного фильтра конфиденциальности достигла вершины трендов до удаления

Поддельный репозиторий OpenAI на Hugging Face набрал около 244 000 загрузок. Он был в тренде на платформе, прежде чем его удалили. Поддельный репозиторий содержал Rust-стиллер, который собирал данные браузера, криптокошельки и секреты разработчиков на компьютерах с Windows.

Исследователи безопасности из HiddenLayer обнаружили вредоносный репозиторий под именем “Open-OSS/privacy-filter.” Это был тифосхват настоящей модели Privacy Filter от OpenAI, которая была выпущена в прошлом месяце.

Поддельный листинг скопировал карточку модели OpenAI и добавил инструкции, советующие пользователям клонировать репозиторий и запускать скрипт.

Злоумышленники использовали поддельный OpenAI Privacy Filter

Настоящий Privacy Filter от OpenAI — это модель с открытыми весами, которая обнаруживает и редактирует личную идентифицируемую информацию в тексте.

Официальный релиз был под лицензией Apache 2.0 через Hugging Face и GitHub. Разработчики ожидали найти в репозитории исполняемый код и скрипты установки.

Но злоумышленники воспользовались ожиданиями разработчиков. Они опубликовали похожий репозиторий под другим именем с узнаваемым брендингом и почти идентичной документацией.

Файл Python с именем loader, который выглядел как обычный код загрузки модели, содержал фальшивый класс DummyModel и поддельный вывод обучения.

Скрипт имел функцию, отключающую проверку SSL, декодирующую секретный URL и получающую команду из JSON Keeper. JSON Keeper — это публичный сервис для вставки JSON. Он позволяет злоумышленнику менять полезные нагрузки без взаимодействия с репозиторием.

Команда запускала скрытый процесс Windows PowerShell. Batch-скрипт, имитирующий API аналитики блокчейна, пытался повысить привилегии.

Он пытался добавить исключения Microsoft Defender для каталога с полезной нагрузкой. Затем команда выпускала готовый бинарный файл через однократную запланированную задачу, которая выглядела как обновление Microsoft Edge.

Далее был доставлен исполняемый файл Rust размером 1,07 МБ. Он извлекал данные браузера, токены Discord, файлы криптокошельков, SSH, FTP и VPN-учетные данные. Украденные данные отправлялись на командно-управляющий (C2) сервер.

Вредоносное ПО также избегало виртуальных машин, песочниц и отладчиков, чтобы исследователи не могли автоматизировать анализ.

Скриншот поддельного репозитория OpenAI. Источник: HiddenLayer.

244 000 загрузок не означает подтвержденных заражений. Неизвестно, сколько пользователей запустили вредоносные файлы.

Ни OpenAI, ни Hugging Face не выпустили публичного заявления. Доступные данные указывают только на имитацию платформы. Ни OpenAI, ни Hugging Face не были скомпрометированы.

Запуск Privacy Filter от OpenAI вызвал поток поискового трафика от разработчиков.

Шаги для тех, кто клонировал репозиторий

Любой, кто клонировал репозиторий и запускал вредоносные скрипты, должен считать свой Windows-компьютер скомпрометированным. Единственным эффективным решением является переустановка системы для удаления вредоносных файлов.

Вход в любой аккаунт на зараженном устройстве рискует дальнейшим раскрытием данных. Исследователи безопасности рекомендуют сменить все учетные данные, сохраненные в браузерах, менеджерах паролей или хранилищах учетных данных на устройстве. Это включает сохраненные пароли, сессионные куки, OAuth-токены, SSH-ключи и токены облачных провайдеров.

Криптовалютные средства следует перевести на новый кошелек, созданный на безопасном устройстве.

В марте исследователи безопасности обнаружили вредоносный пакет npm, маскирующийся под установщик для инструмента AI OpenClaw. Он нацеливался на системные пароли и криптокошельки. Этот пакет, названный GhostLoader, устанавливался как скрытая служба телеметрии и сканировал хранилища учетных данных AI-агентов.

Не ограничивайтесь только чтением новостей о криптовалютах. Понимайте их. Подписывайтесь на нашу рассылку. Это бесплатно.