Модель підробленого фільтра конфіденційності досягла вершини трендів перед зняттям з обліку

Фальшивий репозиторій OpenAI на Hugging Face зібрав близько 244 000 завантажень. Він був у тренді на платформі перед видаленням. Фальшивий репозиторій містив крадіжку Rust, яка витягувала дані браузера, крипто-гаманці та секрети розробників на комп’ютерах з Windows.

Дослідники з безпеки в HiddenLayer виявили зловмисний репозиторій під іменем “Open-OSS/privacy-filter.” Це був типосхоп OpenAI справжньої моделі Privacy Filter, яка була випущена минулого місяця.

Фальшивий запис скопіював картку моделі OpenAI і додав інструкції, що просили користувачів клонувати репозиторій і запускати скрипт.

Зловмисники використали фальшивий OpenAI Privacy Filter

Реальний Privacy Filter від OpenAI — це модель з відкритими вагами, яка виявляє та редагує особисту інформацію у тексті.

Офіційний реліз був під ліцензією Apache 2.0 через Hugging Face і GitHub. Розробники очікували знайти у репозиторії робочий код і скрипти налаштування.

Але зловмисники скористалися очікуваннями розробників. Вони опублікували подібний репозиторій під іншим іменем з знайомим брендингом і майже ідентичною документацією.

Файл Python з назвою loader, що виглядав як звичайний код завантаження моделі, містив фальшивий клас DummyModel і фальшивий вихід тренування.

Скрипт мав функцію, яка відключала перевірку SSL, декодувала секретний URL і отримувала команду з JSON Keeper. JSON Keeper — це публічний сервіс для вставки JSON. Він дозволяє зловмиснику змінювати payload без взаємодії з репозиторієм.

Команда запускала прихований процес Windows PowerShell. Батч-скрипт, що імітує API для аналізу блокчейну, намагався підвищити привілеї.

Він намагався додати виключення Microsoft Defender для каталогу з payload. Потім команда випускала готовий бінарний файл через одноразову заплановану задачу, яка виглядала як оновлення Microsoft Edge.

Далі був доставлений 1.07 МБ Rust-екзешник. Він витягував дані браузера, токени Discord, файли крипто-гаманців, SSH, FTP і VPN-ключі. Вкрадені дані надсилалися на командно-контрольний сервер (C2).

Шкідливе ПО також уникає віртуальних машин, пісочниць і дебаггерів, щоб дослідники не могли автоматично аналізувати його.

Знімок екрана фальшивого репозиторію OpenAI. Джерело: HiddenLayer.

Загальна кількість завантажень 244 000 не означає підтверджених інфекцій. Невідомо, скільки користувачів запустили зловмисні файли.

Ні OpenAI, ні Hugging Face не оприлюднили публічної заяви. Докази вказують лише на імітацію платформи. Немає компрометації OpenAI або Hugging Face.

Запуск Privacy Filter від OpenAI спричинив пошуковий трафік від розробників.

Кроки для тих, хто клонував репозиторій

Кожен, хто клонував репозиторій і запускав зловмисні скрипти, повинен вважати свій Windows-комп’ютер скомпрометованим. Переформатування машини — єдине ефективне рішення для видалення шкідливих файлів.

Вхід у будь-який обліковий запис на ураженій машині ризикує подальшим витоком даних. Дослідники з безпеки рекомендують змінити всі облікові дані, збережені у браузерах, менеджерах паролів або сховищах облікових даних на пристрої. Це включає збережені паролі, сесійні cookies, OAuth-токени, SSH-ключі та токени хмарних провайдерів.

Криптофонд слід перевести на новий гаманець, створений на безпечному пристрої.

У березні дослідники з безпеки виявили шкідливий npm-пакет, замаскований під інсталятор для інструменту штучного інтелекту OpenClaw. Він націлювався на системні паролі та крипто-гаманці. Цей пакет, під назвою GhostLoader, встановлювався як прихована служба телеметрії і сканував сховища облікових даних AI-агентів.

Не просто читайте криптовалютні новини. Розумійте їх. Підписуйтеся на нашу розсилку. Це безкоштовно.