技术说明
一个名为'Open-OSS/privacy-filter'的恶意Hugging Face模型仓库冒充了OpenAI合法的Privacy Filter发布版本。该仓库在不到18小时内获得了Hugging Face排行榜第一位置,约有244,000次下载和667个点赞(可能是人为夸大)。该仓库包含一个恶意的loader.py文件,该文件获取并执行基于Rust的信息窃取器,目标是Windows主机、Chromium/Firefox浏览器、Discord本地存储、加密货币钱包、FileZilla配置和主机系统信息。攻击链禁用SSL验证,通过jsonkeeper.com解码base64编码的C2 URL,并通过模仿Microsoft Edge更新的计划任务建立持久性。
攻击途径
通过公共AI模型注册中心的供应链入侵。攻击者复制合法项目元数据,将恶意加载器伪装成正常设置脚本,并滥用Hugging Face在移除前的早期信任期。开发人员/数据科学家直接将模型克隆到具有提升访问权限的企业环境中,提供了初始感染途径。
受影响系统
任何直接从Hugging Face将模型克隆到开发、数据科学或生产环境而不进行代码审查的组织。特别高风险的是:允许开发人员在模型设置期间执行任意Python脚本的企业。发现了另外六个使用相同加载器逻辑和共享基础设施的恶意仓库,表明这是一个协调的活动。
缓解措施
立即:(1)审计您环境中的Hugging Face克隆,检查可疑的loader.py或类似设置脚本;(2)检查执行日志中是否存在jsonkeeper.com或攻击者控制域的通信;(3)隔离并重建受影响的系统;(4)轮换所有可能暴露的凭据(浏览器密码、Discord令牌、加密钱包、云凭据)。长期:(1)在执行任何模型设置脚本之前要求代码审查;(2)将模型加载环境与企业网络隔离;(3)在模型部署前使用容器扫描和二进制分析;(4)监控Hugging Face的域名抢注和冒充行为;(5)为AI模型实施与传统软件等效的软件供应链控制(SBOM、签名工件、来源验证)。