Фейковий репозиторій OpenAI посів перше місце на Hugging Face — і викрав паролі, поки був у тренді

Коротко

• Зловмисний репозиторій Hugging Face, що імітує модель Privacy Filter від OpenAI, посів перше місце у трендах платформи.
• Вірусне програмне забезпечення зареєструвало приблизно 244 000 завантажень і 667 лайків за менше ніж 18 годин до видалення.
• Репозиторій містив шестиетапний інфостілеер, який збирав паролі з браузерів, токени Discord, ключі криптовалютних гаманців і SSH-дані з Windows-комп’ютерів — і мовчки надсилав усе на сервери з контролем зловмисника.

OpenAI випустила Privacy Filter наприкінці квітня — невелику модель з відкритим ваговим набором, створену для виявлення та автоматичного редагування особистої інформації у тексті. Вона з’явилася на Hugging Face під ліцензією Apache 2.0 і швидко привернула інтерес розробників. Хтось помітив. За кілька днів фейковий акаунт під назвою “Open-OSS” опублікував майже ідентичний репозиторій під назвою privacy-filter. Карта моделі була скопійована дослівно з OpenAI. Єдина різниця у файлі “readme”: інструкції щодо клонування репозиторію та запуску файлу start.bat у Windows або loader.py у Linux і Mac. За 18 годин фейковий репозиторій посів перше місце у трендах Hugging Face — з приблизно 244 000 завантаженнями і 667 лайками. HiddenLayer, компанія, що займається кібербезпекою і яка виявила цю кампанію, з’ясувала, що 657 із 667 лайків походили з акаунтів, що відповідали передбачуваним автоматично згенерованим шаблонам імен ботів.

Мабуть, і кількість завантажень була штучно завищена. Вигаданий соціальний доказ, щоб зробити приманку більш реалістичною. Як насправді працював цей вірус Вірус фактично працював, наче отруєна таблетка, обгорнута у дуже переконливу цукерку. Скрипт loader.py починається з фальшивого виводу тренування моделі — прогрес-барів, синтетичних датасетів, фіктивних імен класів — щоб виглядало, ніби справжній AI-завантажувач працює. Під капотом він тихо відключає перевірки безпеки, витягує закодовану команду з публічного JSON-сайту (розумний хід: не потрібно оновлювати репозиторій при зміні payload), і передає цю команду PowerShell, що виконується повністю приховано у фоновому режимі. Користувачі Windows нічого не бачать. 

Ця команда завантажує другий скрипт із домену, що імітує API аналітики блокчейну. Той скрипт завантажує справжнє вірусне програмне забезпечення — інфостілеер, написаний на Rust, — додає його до списку виключень Windows Defender, а потім запускає з привілеями SYSTEM через заплановане завдання, яке одразу видаляє себе після запуску. Весь ланцюг працює і очищується, залишаючи майже жодних слідів. Фінальний payload ретельно збирає все, що збережено у Chrome і Firefox — паролі, куки сесій, історію браузера, ключі шифрування — все. Він цілиться у акаунти Discord, фрази-заготовки криптовалютних гаманців, SSH-ключі, FTP-дані, і робить скріншоти на всіх моніторах. Потім все пакує у стиснутий JSON і надсилає на сервери з контролем зловмисника. Нам не потрібно вам казати, що з цими даними зловмисники зможуть зробити пізніше. Вірус також перевіряє, чи працює він у віртуальній машині або у безпековій пісочниці, і тихо завершує роботу, якщо виявить таку. Він створений для одноразового запуску на реальних цільових системах, крадіжки всього і зникнення. Чому це більше, ніж просто один репозиторій Це не ізольований випадок. Це частина шаблону. HiddenLayer виявила ще шість репозиторіїв під іншим акаунтом Hugging Face — “anthfu”, завантажених наприкінці квітня, з точно таким самим зловмисним завантажувачем, що вказує на той самий сервер команд. Ці репозиторії імітували моделі Qwen3, DeepSeek і Bonsai, щоб заманити розробників AI. Інфраструктура — домен api.eth-fastscan.org — також був зафіксований, як хостинг окремого зразка вірусу, що передає сигнали на сервер команд. HiddenLayer вважає, що зв’язок між двома кампаніями “можливо, пов’язаний” і попереджає, що спільна інфраструктура сама по собі не підтверджує єдиного оператора. Ось як виглядає атака на ланцюг поставок у спільноті розробників AI. Зловмисник не зламує OpenAI або Hugging Face. Вони просто публікують переконливий двійник, маніпулюють алгоритмом трендів за допомогою ботів і чекають, поки розробники зроблять решту. Подібний сценарій уже застосовувався у 2024 році до бібліотеки JavaScript Lottie Player, що коштувала одному користувачу 10 Bitcoin (більше ніж $700 000 на той час). Що робити, якщо ви його завантажили? Якщо ви клонували Open-OSS/privacy-filter на Windows і запускали будь-який файл із нього, слід вважати, що ваш пристрій повністю зламаний. Не входьте у жодні акаунти з цього пристрою, поки не очистите його. Після цього змініть усі облікові дані, що зберігалися у браузері — паролі, куки сесій, OAuth-токени. Переведіть будь-які криптовалютні кошти на новий гаманець, створений на чистому пристрої, якомога швидше і припустіть, що фрази-заготовки були викрадені. Оскільки він також отримує вашу інформацію з Discord, а цей сервіс дуже автоматизований, потрібно скасувати сесії Discord і змінити пароль. Всі SSH-ключі або FTP-дані на цьому пристрої слід вважати знищеними. Репозиторій зараз видалено. Huggingface не повідомила, які додаткові заходи контролю за трендовими репозиторіями планує впровадити. На даний момент підтверджено сім зловмисних репозиторіїв із цієї кампанії. Скільки ще існувало або існує до виявлення — невідомо.