Колишня модель OpenAI з відкритим кодом стала чемпіоном Hugging Face!
240 000 завантажень приховують шкідливе програмне забезпечення

Міжмережеві компанії з кібербезпеки HiddenLayer викрили, що зловмисна модель, яка імітує Privacy Filter від OpenAI, за 18 годин піднялася на перше місце у списках популярності на Hugging Face, залучивши понад 240 000 завантажень, приховуючи шостий етап Rust-інформаційного крадія, який цілеспрямовано націлений на браузерні паролі, мнемонічні фрази криптовалютних гаманців та SSH-ключі.
(Попередній огляд: WSJ: Google та SpaceX ведуть переговори щодо просування «орбітального AI дата-центру», мільйонна армія супутників Маска готується до епічного IPO)
(Додатковий фон: новий стартап у сфері AI безпеки Depthfirst оголосив про перемогу над моделлю Mythos від Anthropic! Виявлено епічну уразливість NGINX, що існувала 18 років, з витратами на її виявлення лише 1/10)

Зміст статті

Перемикач

• За 18 годин піднявся на перше місце у трендах, майже 90% лайків — від бот-акаунтів
• Шестиступенева ланцюг атаки: від фальшивого тренувального процесу до системного привілею крадіжки
• Цільові браузери Chrome/Firefox, Discord, криптовалютні гаманці
• Це не один випадок: щонайменше сім зловмисних репозиторіїв вже ідентифіковано
• Що робити, якщо ви вже завантажили?

OpenAI наприкінці квітня випустила відкриту модель Privacy Filter — легкий, автоматично виявляючий та маскуючий особисту ідентифікаційну інформацію (PII) у текстах, яка була опублікована під ліцензією Apache 2.0 на Hugging Face, швидко привернувши увагу розробників. Однак ця хвиля популярності також привернула непроханих гостей.

Компанія з кібербезпеки HiddenLayer викрила, що під псевдонімом «Open-OSS» на Hugging Face був опублікований репозиторій, майже ідентичний офіційному, з назвою privacy-filter, з копіюванням кожного слова у описі моделі. Єдина різниця — у readme-файлі, який пропонує користувачам завантажити та запустити start.bat (Windows) або loader.py (Linux/Mac).

За 18 годин піднявся на перше місце у трендах, майже 90% лайків — від бот-акаунтів

Цей фальшивий репозиторій за короткий час — всього 18 годин — став лідером у рейтингу Hugging Face, зібравши близько 244 000 завантажень та 667 лайків. HiddenLayer виявила, що 657 з них належать акаунтам, що відповідають автоматизованому бот-стилю іменування — тобто понад 98% соціальних сигналів є підробленими. Ймовірно, і кількість завантажень була накручена за допомогою аналогічних методів, створюючи ілюзію популярності та заманюючи справжніх розробників.

Шестиступенева ланцюг атаки: від фальшивого тренувального процесу до системного привілею крадіжки

Цей зловмисний софт має досить складну конструкцію. При запуску loader.py спочатку показує фальшивий вихід тренування моделі — прогрес-бар, синтетичний датасет, віртуальні назви класів — створюється ілюзія, що справжній AI завантажується. Але у фоновому режимі він тихо відключає системи безпеки, витягує з відкритих JSON-постів команду з закодованим скриптом, який передає PowerShell.

Ця команда завантажує ще один скрипт з домену, що імітує API блокчейн-аналітики (api.eth-fastscan.org), а потім — справжній зловмисний payload, написаний мовою Rust, — інфо-крадій. Він автоматично додає себе до списку виключень Windows Defender і запускається з SYSTEM-привілеями через заплановану задачу, яка після виконання самостійно видаляється, залишаючи мінімальні сліди.

Цільові браузери: Chrome/Firefox, Discord, криптовалютні гаманці

Цей інфо-крадій — справжній «всеохоплювач». Він збирає всі збережені дані у Chrome та Firefox — паролі, сесійні cookies, історію переглядів, шифровані ключі; цілиться на акаунти Discord, мнемонічні фрази криптовалютних гаманців (Seed Phrase), SSH-ключі, FTP-дані; і робить скріншоти всіх екранів. Потім все зібране пакує у стиснутий JSON-файл і передає на сервер, контрольований зловмисниками.

Ще більш хитро — цей зловмисний софт визначає, чи працює він у віртуальній машині або у безпечному середовищі, і якщо так — тихо завершує роботу. Його мета — одноразова атака на реальні цілі, крадіжка всього і зникнення без сліду.

Це не один випадок: вже ідентифіковано щонайменше сім зловмисних репозиторіїв

HiddenLayer зазначає, що це не ізольована подія. Вони виявили ще шість репозиторіїв на Hugging Face, що належать акаунту «anthfu», які використовують ідентичний зловмисний інфо-крадій, завантажений наприкінці квітня. Серед них — моделі Qwen3, DeepSeek, Bonsai, — і всі вони цілеспрямовано орієнтовані на AI-розробників.

Зловмисники не зламують самі OpenAI або Hugging Face, а створюють фальшиві копії, штучно підвищують популярність за допомогою ботів і чекають, коли розробники самі завантажать і запустять ці репозиторії. Такий сценарій вже був у 2024 році під час атаки на JavaScript-бібліотеку LottiePlayer, що спричинила втрату 10 біткоїнів (більше 700 000 доларів тоді).

Ці фальшиві репозиторії вже зняті з платформи, але станом на час публікації платформа ще не запровадила нові механізми перевірки популярних репозиторіїв. Відомо щонайменше про сім таких зловмисних репозиторіїв, але скільки ще залишилось непоміченими або вже видаленими — невідомо.

Що робити, якщо ви вже завантажили?

Фахівці з кібербезпеки радять, що якщо ви запускали Open-OSS/privacy-filter на Windows і виконували будь-який файл із нього, слід вважати пристрій повністю зламаним — до повного очищення не входьте у жодні сервіси з цієї машини. Потім потрібно змінити всі збережені у браузері паролі та ключі, і на чистому пристрої створити новий гаманець, негайно переказавши криптовалюту. Сесії Discord потрібно скинути та змінити паролі, SSH-ключі та FTP-дані — вважати компрометованими.