기술 설명
'Open-OSS/privacy-filter'라는 악성 Hugging Face 모델 저장소가 OpenAI의 정당한 Privacy Filter 출시를 모방했습니다. 이 저장소는 18시간 이내에 Hugging Face에서 #1 트렌딩 위치를 달성했으며 약 244,000회 다운로드와 667개의 좋아요를 기록했습니다(인위적으로 부풀려진 것으로 추정). 이 저장소에는 Rust 기반의 정보 탈취 악성코드를 가져와 실행하는 악성 loader.py 파일이 포함되어 있었으며, 이는 Windows 호스트, Chromium/Firefox 브라우저, Discord 로컬 저장소, 암호화폐 지갑, FileZilla 설정 및 호스트 시스템 정보를 대상으로 했습니다. 공격 체인은 SSL 검증을 비활성화하고, jsonkeeper.com을 통해 base64 인코딩된 C2 URL을 디코딩하며, Microsoft Edge 업데이트를 모방하는 예약된 작업을 통해 지속성을 확립했습니다.
공격 경로
공개 AI 모델 레지스트리를 통한 공급망 침해. 공격자들은 정당한 프로젝트 메타데이터를 복사하고, 악성 로더를 정상적인 설정 스크립트로 위장하며, 제거 전 Hugging Face의 초기 신뢰 기간을 악용합니다. 개발자/데이터 과학자들이 모델을 직접 상승된 접근 권한이 있는 기업 환경에 복제하면 초기 감염 벡터를 제공합니다.
영향받는 시스템
코드 검토 없이 Hugging Face에서 개발, 데이터 과학 또는 프로덕션 환경으로 직접 모델을 복제하는 모든 조직. 특히 높은 위험: 개발자들이 모델 설정 중 임의의 Python 스크립트를 실행하도록 허용하는 엔터프라이즈. 동일한 로더 로직과 공유 인프라를 사용하는 6개의 추가 악성 저장소가 식별되었으며, 이는 조직화된 캠페인을 시사합니다.
완화 방안
즉각적 조치: (1) 환경의 Hugging Face 복제본을 의심스러운 loader.py 또는 유사한 설정 스크립트에 대해 감시; (2) jsonkeeper.com 또는 공격자 제어 도메인 통신에 대한 실행 로그 검토; (3) 영향을 받은 시스템 격리 및 재구축; (4) 노출될 수 있는 모든 자격증명 순환(브라우저 비밀번호, Discord 토큰, 암호화폐 지갑, 클라우드 자격증명). 장기 조치: (1) 모든 모델 설정 스크립트 실행 전 코드 검토 필수화; (2) 모델 로딩 환경을 기업 네트워크에서 격리; (3) 모델 배포 전 컨테이너 스캔 및 바이너리 분석 사용; (4) Hugging Face에서 타이포스쿼팅 및 모방에 대한 모니터링; (5) 기존 소프트웨어와 동등한 AI 모델에 대한 소프트웨어 공급망 제어 구현(SBOM, 서명된 아티팩트, 출처 검증).