假OpenAI仓库在Hugging Face登顶——并在热度飙升时窃取密码

简要概述

• 一个恶意的 Hugging Face 仓库冒充 OpenAI 的隐私过滤器模型，登上平台热门榜第 1 名。
• 该恶意软件在被移除前，约在 18 小时内注册了 244,000 次下载和 667 个点赞。
• 该仓库投递了一个六阶段的信息窃取器，能够从 Windows 机器中窃取浏览器密码、Discord 令牌、加密货币钱包密钥和 SSH 凭据——然后悄无声息地将所有内容发送到攻击者控制的服务器。

OpenAI 于四月底发布了隐私过滤器——一个小型的开源“开权重”模型，旨在检测并自动从文本中打码/删除个人身份信息（PII）。它以 Apache 2.0 许可证在 Hugging Face 上架，很快引起了开发者的兴趣。有人注意到了。 在几天之内，一个名为“Open-OSS”的假账号发布了一个几乎一模一样的仓库，名为 privacy-filter。模型说明书（model card）逐字逐句复制自 OpenAI。唯一的区别在于“readme”文件：在 Windows 上克隆仓库并运行名为 start.bat 的文件，或在 Linux 和 Mac 上运行 loader.py。 在 18 小时内，假仓库登上了 Hugging Face 的热门榜第 1 位——累计约 244,000 次下载和 667 个点赞。HiddenLayer（AI 安全公司）在标记这次活动时发现，其中 657 个点赞来自与可预测的自动生成机器人命名模式相匹配的账号。

下载量几乎可以肯定也是用同样的方式被“抬高”的：制造虚假的社交证明，让诱饵看起来更真实。 恶意软件的实际工作原理 这款恶意软件基本上就像一颗“毒药”，外面包着一层非常逼真的糖衣。 loader.py 脚本开头以伪造的模型训练输出呈现——进度条、合成数据集、虚拟类别名——旨在看起来像真正的 AI 加载器正在运行。 在后台，它悄悄禁用安全检查，从一个公开的 JSON 粘贴站点获取一段编码后的命令（巧妙之处：当载荷变化时不需要更新仓库），然后把这段命令传递给在后台完全隐藏运行的 PowerShell。Windows 用户什么也看不到。 

这段命令会从一个模仿区块链分析 API 的域名下载第二个脚本。该脚本随后下载真正的恶意软件——用 Rust 编写的定制信息窃取器——将其加入 Windows Defender 的排除列表，然后通过计划任务以 SYSTEM 级权限启动；该计划任务在触发后会立即删除自身。整个链条会运行并在结束后自行清理，留下的痕迹几乎为零。 最终载荷非常彻底。它会窃取 Chrome 和 Firefox 中存储的所有内容——保存的密码、会话 cookies、浏览器历史、加密密钥等。它还会针对 Discord 账户、加密货币钱包种子短语、SSH 密钥、FTP 凭据，并在所有显示器上截取屏幕截图。随后，它将所有信息打包成一个压缩的 JSON 包并发送到攻击者控制的服务器。 我们不需要告诉你，黑客之后会如何利用这些信息。 该恶意软件还会检查自己是否在虚拟机或安全沙箱中运行；一旦检测到就会悄悄退出。它被设计为只在真实目标上运行一次：窃取所有信息，然后消失。 为什么这不止是一个仓库的问题 这并非孤立事件，而是某种模式的一部分。HiddenLayer 发现，在另一个名为“anthfu”的 Hugging Face 账号下，除该仓库外还有 6 个额外仓库，于四月底上传。它们使用完全相同的恶意加载器，指向完全相同的命令服务器。这些仓库冒充 Qwen3、DeepSeek 和 Bonsai 等模型，以吸引 AI 开发者。 基础设施本身——一个名为 api.eth-fastscan.org 的域名——也被观察到托管了另一份会向命令服务器回连/发信标（beacon）的恶意样本。HiddenLayer 认为这两次活动之间“可能存在关联”，并提醒仅凭共享基础设施并不能确认是同一名操作者。 这就是针对 AI 开发者社区的供应链攻击的样子。攻击者既不会入侵 OpenAI，也不会入侵 Hugging Face。他们所做的只是发布一个足够“以假乱真”的仿冒品，利用机器人操控热门推荐算法，然后等待开发者把剩下的事情做完。2024 年，这样的剧本也打击过 Lottie Player 的 JavaScript 库，导致一名用户损失了 10 Bitcoin（当时价值超过 $700,000）。 如果你把它下载了怎么办？ 如果你在 Windows 机器上克隆了 Open-OSS/privacy-filter，并运行了其中任何文件，你应该把这台设备视为已完全被攻陷。在擦除之前，不要从这台机器登录任何账户。

之后，修改浏览器中存储的所有凭据——密码、会话 cookies、OAuth 令牌。请尽快把任何加密资产转移到一台在干净设备上生成的新钱包，并假设种子短语已经被窃取。 由于它也会获取你的 Discord 信息，而该服务高度自动化，你应使你的 Discord 会话失效并重置该密码。该机器上的任何 SSH 密钥或 FTP 凭据都应视为已“作废/被消耗殆尽”。 该仓库现在已被移除。Huggingface 尚未披露它是否以及将会为热门仓库实施哪些额外的筛查措施。 截至目前，已确认在这次活动中识别出了 7 个恶意仓库。还存在多少——或在被检测之前曾经存在多少——目前仍未知。