Fałszywe repozytorium OpenAI na Hugging Face rozprowadzało infostealera i zdobyło szczyt trendów - Security Bez Tabu

Fałszywe repozytorium OpenAI na Hugging Face rozprowadzało infostealera i zdobyło szczyt trendów

Cybersecurity news

Wprowadzenie do problemu / definicja

Ekosystem open source oraz platformy udostępniające modele sztucznej inteligencji stają się coraz częstszym celem ataków na łańcuch dostaw. Najnowszy incydent pokazał, że cyberprzestępcy potrafią skutecznie wykorzystać zaufanie do rozpoznawalnych marek, popularność modeli oraz mechanizmy rekomendacji platform, aby skłonić użytkowników do uruchomienia złośliwego kodu.

W opisywanym przypadku fałszywe repozytorium podszywało się pod projekt OpenAI związany z filtrowaniem danych wrażliwych. Zamiast legalnego narzędzia użytkownicy otrzymywali wieloetapowy łańcuch infekcji prowadzący do instalacji infostealera dla systemów Windows.

W skrócie

Fałszywe repozytorium udające model Privacy Filter opublikowany przez OpenAI pojawiło się na platformie Hugging Face i osiągnęło pierwsze miejsce w sekcji trendów. Napastnicy skopiowali opis legalnego projektu niemal jeden do jednego, dzięki czemu zwiększyli wiarygodność złośliwej publikacji.

Po uruchomieniu dostarczonych skryptów ofiara pobierała kolejne komponenty infekcji, których końcowym ładunkiem był malware kradnący dane. Oprogramowanie wykradało informacje z przeglądarek, portfeli kryptowalutowych, Discorda, konfiguracji FileZilla, a także wykonywało zrzuty ekranu i zbierało dane systemowe.

  • Podszycie pod markę OpenAI i legalny model Privacy Filter
  • Wysoka widoczność repozytorium dzięki sekcji trendów
  • Wielostopniowy łańcuch infekcji uruchamiany lokalnie przez użytkownika
  • Kradzież danych uwierzytelniających, plików i informacji z aplikacji
  • Silny sygnał ostrzegawczy dla bezpieczeństwa łańcucha dostaw AI

Kontekst / historia

OpenAI udostępniło model Privacy Filter pod koniec kwietnia 2026 roku jako narzędzie do wykrywania i redagowania danych osobowych w nieustrukturyzowanym tekście. Tego rodzaju rozwiązanie mogło szybko zyskać zainteresowanie wśród zespołów rozwijających aplikacje AI z naciskiem na prywatność, zgodność regulacyjną i ochronę danych.

Wkrótce po publikacji legalnego projektu pojawiła się jego złośliwa kopia wykorzystująca typosquatting i podszycie pod markę OpenAI. Atakujący nie poprzestali na podobnej nazwie repozytorium. Skopiowali także kartę modelu oraz opis projektu, co znacząco zwiększyło szansę, że użytkownicy uznają repozytorium za autentyczne i bezpieczne.

Badacze wskazali również na istnienie innych repozytoriów wykorzystujących podobny loader i zbliżoną infrastrukturę. To sugeruje, że nie był to pojedynczy incydent, lecz element szerszej kampanii wymierzonej w użytkowników platform hostujących modele, skrypty i artefakty AI.

Analiza techniczna

Mechanizm ataku opierał się na skryptach uruchamianych lokalnie przez użytkownika. Repozytorium instruowało ofiarę, aby sklonowała projekt i uruchomiła odpowiedni skrypt inicjalizacyjny, w tym plik wsadowy dla Windows lub skrypt Python mający rzekomo przygotować środowisko i uruchomić model.

Kluczowym elementem infekcji był plik loader.py, który rozpoczynał złośliwy łańcuch wykonania. Skrypt wyłączał weryfikację SSL, a następnie dekodował zapisany w Base64 adres URL prowadzący do publicznego zasobu JSON. Taki zasób pełnił rolę pośredniego punktu sterowania, z którego pobierane było aktualne polecenie do wykonania.

Następnie uruchamiany był PowerShell, który pobierał zewnętrzny skrypt wsadowy z infrastruktury kontrolowanej przez atakujących. Drugi etap przygotowywał środowisko do działania malware, obejmując próbę podniesienia uprawnień przez monit UAC, dodanie wyjątków do Microsoft Defender Antivirus, pobranie kolejnego pliku binarnego oraz utworzenie zadania harmonogramu do uruchomienia następnego komponentu.

W końcowym etapie wykonywany był infostealer działający jako jednorazowy launcher z kontekstem uprzywilejowanym. Choć użyto harmonogramu zadań, malware nie ustanawiał klasycznej trwałości po restarcie systemu. Mechanizm ten służył raczej do uruchomienia ładunku końcowego z wyższymi uprawnieniami oraz do szybkiego usuwania elementów pośrednich.

Funkcjonalność złośliwego oprogramowania obejmowała szeroki zakres kradzieży danych i działań wspierających eksfiltrację.

  • Wykonywanie zrzutów ekranu
  • Zbieranie danych systemowych
  • Kradzież informacji z Discorda
  • Pozyskiwanie danych z portfeli kryptowalutowych i rozszerzeń
  • Wyszukiwanie wrażliwych plików, w tym konfiguracji FileZilla i fraz seed
  • Ekstrakcję danych z przeglądarek opartych na Chromium i Gecko

Dodatkowo malware zawierał mechanizmy utrudniające analizę i detekcję. Sprawdzał obecność debuggerów i środowisk sandbox, podejmował próby wykrycia maszyn wirtualnych oraz próbował osłabiać AMSI i ETW, aby utrudnić rejestrację działań przez narzędzia ochronne i telemetryczne. Wykradzione dane były następnie wysyłane do zewnętrznej domeny w formacie JSON.

Konsekwencje / ryzyko

Najważniejszym ryzykiem w tym incydencie było połączenie socjotechniki z zaufaniem do platformy i marki. Użytkownicy pracujący z modelami AI często zakładają, że popularne lub trendujące repozytoria są względnie bezpieczne. Gdy złośliwy projekt wykorzystuje nazwę znanej organizacji i kopiuje oficjalny opis, poziom ostrożności naturalnie spada.

Dla organizacji skutki takiego incydentu wykraczają daleko poza pojedynczą stację roboczą. Infostealer może doprowadzić do przejęcia danych, które następnie zostaną wykorzystane do dalszej kompromitacji środowiska.

  • Zapisane hasła i sesje przeglądarkowe
  • Tokeny dostępowe do usług chmurowych
  • Dane komunikacyjne i konta deweloperskie
  • Portfele kryptowalutowe
  • Konfiguracje narzędzi administracyjnych i transferowych
  • Materiały wrażliwe obecne na ekranie lub lokalnym dysku

W środowiskach deweloperskich i badawczych przejęcie takiego hosta może umożliwić ruch boczny, kompromitację kont w Git, CI/CD, rejestrach pakietów, platformach AI oraz systemach produkcyjnych. Szczególnie niepokojące jest to, że atak nie wykorzystywał klasycznej podatności technicznej, lecz zaufany proces pobierania i uruchamiania zewnętrznych artefaktów.

Istotnym problemem pozostaje także manipulacja metrykami popularności. Jeśli liczba pobrań lub aktywność wokół repozytorium została sztucznie zawyżona, oznacza to, że systemy reputacyjne platform mogą być używane jako narzędzie wpływu na decyzje użytkowników.

Rekomendacje

Organizacje korzystające z modeli AI, skryptów pomocniczych i repozytoriów społecznościowych powinny wdrożyć zasady bezpieczeństwa podobne do tych, które obowiązują przy pracy z pakietami open source i zależnościami programistycznymi.

Po pierwsze, należy weryfikować tożsamość wydawcy. Sama nazwa repozytorium, liczba pobrań czy pozycja w trendach nie mogą być traktowane jako dowód autentyczności. Konieczne jest potwierdzenie, czy projekt pochodzi z oficjalnego profilu producenta i czy jest powiązany z komunikacją dostawcy.

Po drugie, trzeba kontrolować wszystkie skrypty wykonywane lokalnie. Każdy plik typu setup, install, loader, postinstall, bat lub ps1 powinien zostać przeanalizowany przed uruchomieniem. Obejmuje to przegląd kodu, identyfikację zewnętrznych adresów oraz sprawdzenie, czy projekt rzeczywiście wymaga pobierania dodatkowych komponentów.

Po trzecie, warto izolować testowanie nowych modeli i repozytoriów. Najbezpieczniejszym podejściem jest uruchamianie ich w odseparowanych środowiskach laboratoryjnych, maszynach tymczasowych lub sandboxach bez dostępu do produkcyjnych sekretów, portfeli, sesji przeglądarkowych i wrażliwych plików.

Zespoły bezpieczeństwa powinny również rozszerzyć monitoring o zachowania charakterystyczne dla tego typu ataków.

  • Uruchomienia PowerShell i skryptów wsadowych inicjowane przez narzędzia AI
  • Modyfikacje wyjątków w Microsoft Defender
  • Tworzenie krótkotrwałych zadań harmonogramu
  • Połączenia do nowo obserwowanej infrastruktury z hostów badawczych i deweloperskich
  • Nietypowe odczyty danych z przeglądarek, portfeli i katalogów konfiguracyjnych

Warto także objąć stacje robocze badaczy AI, deweloperów i analityków silniejszym hardeningiem, ograniczeniami uprawnień lokalnych, kontrolą wykonywania skryptów oraz separacją kont administracyjnych od kont codziennego użytku. Modele, checkpointy, skrypty inferencyjne i narzędzia do fine-tuningu powinny przechodzić formalny proces walidacji bezpieczeństwa.

Podsumowanie

Incydent z fałszywym repozytorium podszywającym się pod OpenAI pokazuje, że łańcuch dostaw AI staje się pełnoprawnym obszarem operacji cyberprzestępczych. Atakujący połączyli typosquatting, kopiowanie treści legalnego projektu, manipulację wiarygodnością oraz wieloetapowy loader prowadzący do uruchomienia infostealera.

Dla obrońców najważniejszy wniosek jest jednoznaczny: modele i repozytoria AI należy traktować jak każdy inny nieufny komponent zewnętrzny. Popularność, rozpoznawalna nazwa i atrakcyjny opis nie mogą zastąpić weryfikacji pochodzenia, analizy kodu oraz bezpiecznego uruchamiania w środowisku izolowanym.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/fake-openai-privacy-filter-repo-hits-1.html
  2. HiddenLayer Research — https://hiddenlayer.com/innovation-hub/fake-openai-models-on-hugging-face/
  3. OpenAI Privacy Filter — https://openai.com/index/introducing-privacy-filter/
  4. Panther — https://panther.com/blog/npm-package-trevlo-delivers-valleyrat/