Repositori Model Hugging Face Berbahaya (Open-OSS/privacy-filter)—Serangan Rantai Pasokan AI Mengirimkan Malware Infostealer, 244K Unduhan

Repositori model Hugging Face berbahaya bernama 'Open-OSS/privacy-filter' menyamar sebagai rilis Privacy Filter yang sah dari OpenAI. Repositori tersebut mencapai posisi #1 trending di Hugging Face dengan perkiraan 244.000 unduhan dan 667 like dalam waktu kurang dari 18 jam (kemungkinan besar meningkat secara artifisial). Repositori tersebut mencakup file loader.py berbahaya yang mengambil dan mengeksekusi infostealer berbasis Rust yang menargetkan host Windows, browser Chromium/Firefox, penyimpanan lokal Discord, dompet cryptocurrency, konfigurasi FileZilla, dan informasi sistem host. Rantai serangan menonaktifkan verifikasi SSL, mendekodekan URL C2 yang dikodekan base64 melalui jsonkeeper.com, dan membuat persistensi melalui tugas terjadwal yang meniru pembaruan Microsoft Edge.

Kompromi rantai pasokan melalui registri model AI publik. Penyerang menyalin metadata proyek yang sah, menyamarkan loader berbahaya sebagai skrip setup normal, dan menyalahgunakan periode kepercayaan awal Hugging Face sebelum penghapusan. Pengembang/data scientist yang mengkloning model secara langsung ke lingkungan korporat dengan akses yang ditingkatkan memberikan vektor infeksi awal.

Organisasi apa pun yang mengkloning model secara langsung dari Hugging Face ke dalam lingkungan pengembangan, data science, atau produksi tanpa tinjauan kode. Risiko tinggi khususnya: perusahaan yang memungkinkan pengembang mengeksekusi skrip Python arbitrer selama penyiapan model. Enam repositori berbahaya tambahan menggunakan logika loader yang identik dan infrastruktur bersama, menunjukkan kampanye terkoordinasi.

Segera: (1) audit klon Hugging Face di lingkungan Anda untuk mencari loader.py mencurigakan atau skrip setup serupa; (2) tinjau log eksekusi untuk komunikasi jsonkeeper.com atau domain yang dikendalikan penyerang; (3) isolasi dan bangun ulang sistem yang terpengaruh; (4) rotasi semua kredensial yang berpotensi terekspos (password browser, token Discord, dompet crypto, kredensial cloud). Jangka panjang: (1) perlukan tinjauan kode sebelum mengeksekusi skrip setup model apa pun; (2) isolasi lingkungan pemuatan model dari jaringan korporat; (3) gunakan pemindaian kontainer dan analisis biner sebelum penyebaran model; (4) pantau Hugging Face untuk typosquatting dan impersonasi; (5) implementasikan kontrol rantai pasokan software (SBOM, artefak tertanda tangan, verifikasi provenance) untuk model AI yang setara dengan software tradisional.