假冒隐私过滤器模型在被下架前登顶热搜

在 Hugging Face 上，一个假冒的 OpenAI 仓库累计获得了约 244,000 次下载。在被移除之前，它曾在该平台上热度飙升。这个假仓库交付了一个 Rust 窃取器，能够从 Windows 电脑中窃取浏览器数据、加密钱包以及开发者机密。

HiddenLayer 的安全研究人员发现了这个恶意仓库，位于命名空间 “Open-OSS/privacy-filter” 下。它是对 OpenAI 真实的 Privacy Filter 模型所进行的拼写欺骗（typosquat），该模型于上个月发布。

这个假列表复制了 OpenAI 的模型卡（model card），并附上指令，告诉用户克隆仓库并运行脚本。

攻击者使用了一个假冒的 OpenAI Privacy Filter

OpenAI 真实的 Privacy Filter 是一个开源权重模型，用于检测并对文本中的个人身份信息（PII）进行脱敏（redact）。

真正的发布版本通过 Hugging Face 和 GitHub 使用 Apache 2.0 许可证开放。开发者原本预计能在真实仓库中找到可运行的代码以及设置脚本。

但攻击者利用了开发者的预期。他们在不同的命名空间下发布了一个外观相似（lookalike）的仓库，使用熟悉的品牌标识，并提供几乎相同的文档。

一个名为 loader 的 Python 文件，看起来像正常的模型加载代码，但其中包含一个假的 DummyModel 类以及伪造的训练输出。

该脚本包含一个函数，用于禁用 SSL 验证、解码一个秘密 URL，并从 JSON Keeper 接收指令。JSON Keeper 是一个公开的 JSON 粘贴服务。它允许攻击者在无需与仓库交互的情况下更换载荷（payload）。

该指令启动了一个隐藏的 Windows PowerShell 进程。一个模仿区块链分析 API 的批处理脚本尝试提升权限。

它试图为载荷目录添加 Microsoft Defender 的排除项。随后，该命令通过一个一次性的计划任务发布了最终的二进制文件，这个任务看起来像是 Microsoft Edge 的更新程序。

接下来，交付了一个 1.07 MB 的 Rust 可执行文件。它会提取浏览器数据、Discord 令牌、加密钱包文件、SSH、FTP 和 VPN 凭据。被窃取的数据随后被发送到一个指挥与控制（C2）服务器。

恶意软件还会在研究人员设置了自动化分析的情况下，规避虚拟机（virtual machines）、沙箱（sandboxes）和调试器（debuggers）。

假冒的 OpenAI 仓库截图。来源：HiddenLayer。

244,000 次下载并不意味着已经确认发生了感染。目前不清楚有多少用户实际执行了这些恶意文件。

OpenAI 和 Hugging Face 都没有发布公开声明。现有证据仅指向“冒充平台”的行为；并不存在对 OpenAI 或 Hugging Face 的入侵（compromise）。

OpenAI 的 Privacy Filter 上线引发了来自开发者的搜索流量。

任何人克隆该仓库后的操作步骤

任何克隆了该仓库并运行了恶意脚本的人，都应当认为其 Windows 机器已经遭到入侵。重新安装系统是清除恶意文件的唯一有效解决方案。

登录受影响机器上的任何账户都会带来进一步暴露的风险。安全研究人员建议轮换设备上浏览器、密码管理器或凭证存储中保存的每一项凭证。包括已保存的密码、会话 cookies、OAuth 令牌、SSH 密钥以及云服务提供商令牌。

加密资金应当转移到在健康设备上创建的新钱包中。

今年 3 月，安全研究人员识别出一个恶意的 npm 包，它伪装成 AI 工具 OpenClaw 的安装程序。该包会窃取系统密码并瞄准加密钱包。该恶意包名为 GhostLoader，会在安装后以隐藏的遥测服务形式自我部署，并扫描 AI 代理凭证存储。

不要只看加密货币新闻。要理解它。订阅我们的新闻通讯。免费。