ネットワークセキュリティ企業 HiddenLayer が明らかにしたところによると、OpenAI Privacy Filter の偽造モデルが Hugging Face 上でわずか18時間で人気ランキングのトップに躍り出て、24万回以上のダウンロードを記録し、その背後には六段階の Rust 製情報窃取ツールが隠されており、ブラウザのパスワード、暗号通貨ウォレットの助記詞、SSHキーを狙っている。 (前回の要約:WSJ:Googleの秘密会議でSpaceXと「軌道AIデータセンター」推進を協議、マスクの衛星軍は史上初のIPOを迎える) (背景補足:AIセキュリティ新創企業Depthfirstは、Anthropicのモデル Mythos を打ち負かした!18年間潜伏していたNGINXの史上最大の脆弱性を発見、修正コストはわずか1/10) この記事の目次Toggle* 18時間でトップに躍り出た、いいねの9割以上がボットアカウントから* 六段階攻撃チェーン:偽訓練画面からシステムレベルの権限窃取まで* Chrome/Firefox、Discord、暗号通貨ウォレットを標的に* 一つの事件だけではない:少なくとも7つの悪意あるリポジトリが確認済み* もしダウンロードしてしまったらどうすればいい?OpenAIは4月末にオープンソースモデルの Privacy Filterをリリース——個人識別情報(PII)を自動検出・マスクする軽量モデルで、Hugging FaceにApache 2.0ライセンスで公開され、開発者の注目を集めた。しかし、この熱狂には不審な第三者も入り込んだ。セキュリティ企業HiddenLayerは、偽アカウント「Open-OSS」がHugging Faceにほぼ同一内容のリポジトリを公開し、名前も同じく _privacy-filter_ で、モデルカードもOpenAI公式版を逐語的にコピーしていることを発見した。唯一の違いはREADMEファイルに隠されており、そこにはユーザーにダウンロード後に _start.bat_(Windows)または _loader.py_(Linux/Mac)を実行させる指示が記されている。### 18時間でトップに躍り出た、いいねの9割以上がボットアカウントからこの偽リポジトリはわずか18時間でHugging Faceの人気ランキング1位に到達し、約24万4千回のダウンロードと667の「いいね」を獲得した。HiddenLayerの追跡によると、そのうち657の「いいね」は自動化されたボットアカウントからのものであり、つまり全体の98%以上が偽装されたものであると推測される。ダウンロード数も同様に、同じ手法で水増しされている可能性が高く、実際の人気以上に見せかけて開発者を誘導している。### 六段階攻撃チェーン:偽訓練画面からシステムレベルの権限窃取までこのマルウェアの設計は非常に巧妙だ。`loader.py`を実行すると、偽のモデル訓練出力——進行状況バー、合成データセット、仮想クラス名——を表示し、まるで本物のAIローダーが動作しているかのように見せかける。しかし、その裏では安全性の検査を静かに無効化し、公開されているJSON投稿サイトからエンコードされたコマンドを取得し、それを隠されたPowerShellに渡している。このコマンドは、偽のブロックチェーン分析APIのドメイン(_api.eth-fastscan.org_)から2つ目のスクリプトをダウンロードし、そのスクリプトが本物の悪意あるペイロード——Rust言語で書かれたカスタム情報窃取ツール——をダウンロードさせる。ツールは自動的にWindows Defenderの除外リストに追加され、SYSTEM権限でスケジュールタスクを通じて起動される。タスクは即座に自己削除され、痕跡をほとんど残さない。### Chrome/Firefox、Discord、暗号通貨ウォレットを標的にこの情報窃取ツールは「一つも見逃さない」設計だ。ChromeとFirefoxに保存されたパスワード、セッションCookie、閲覧履歴、暗号化キーをすべて抽出し、Discordアカウント、暗号通貨ウォレットの助記詞(Seed Phrase)、SSHキー、FTP証明書も狙う。さらに、すべての画面のスクリーンショットを取り、攻撃者のコントロールするサーバーに圧縮されたJSON形式で送信する。より巧妙なのは、このマルウェアが仮想マシンやサンドボックス環境での実行を検知し、検出した場合は静かに終了する仕組みだ。設計意図は、実際のターゲットに一度だけ攻撃を仕掛け、すべてを盗み去ったら姿を消すことにある。### 一つの事件だけではない:少なくとも7つの悪意あるリポジトリが確認済みHiddenLayerは、この事件は孤立したものではないと指摘する。同じコマンドサーバーの下で、「anthfu」というHugging Faceアカウントに、同じ悪意のあるローダーを使った6つのリポジトリが存在し、4月末にアップロードされた。これらの偽モデルにはQwen3、DeepSeek、Bonsaiなどがあり、いずれもAI開発者を標的としている。攻撃者はOpenAIやHugging Face自体に侵入するのではなく、リアルな模倣版を公開し、ボットを使って人気ランキングを操作し、開発者にダウンロードさせている。このシナリオは、2024年のLottiePlayer JavaScriptライブラリのサプライチェーン攻撃でも再現されており、その際には一人のユーザーがビットコイン10枚(当時の価値で約70万ドル)を失った。この偽リポジトリは現在Hugging Faceから削除されているが、記事執筆時点では、プラットフォーム側は新たな人気リポジトリの審査体制について何も発表していない。確認されている悪意のあるリポジトリは7つだが、未発見のものや既に削除されたものも含め、数は不明だ。### もしダウンロードしてしまったらどうすればいい?セキュリティ専門家は、Windowsマシンに`Open-OSS/privacy-filter`をコピーして実行した場合、そのデバイスは完全に感染したとみなすべきだとアドバイスしている。感染が確認されるまでは、そのPCから一切のサービスにログインしないこと。次に、ブラウザに保存されているすべての認証情報を変更し、クリーンなデバイス上で新しいウォレットを作成し、すぐに暗号資産を移動させること。Discordのセッションも無効化し、パスワードをリセット。SSHキーやFTP証明書も漏洩とみなして対処すべきだ。
偽のOpenAIオープンソースモデルがHugging Faceで優勝!24万回のダウンロードに悪意のあるソフトウェアが潜む
ネットワークセキュリティ企業 HiddenLayer が明らかにしたところによると、OpenAI Privacy Filter の偽造モデルが Hugging Face 上でわずか18時間で人気ランキングのトップに躍り出て、24万回以上のダウンロードを記録し、その背後には六段階の Rust 製情報窃取ツールが隠されており、ブラウザのパスワード、暗号通貨ウォレットの助記詞、SSHキーを狙っている。
(前回の要約:WSJ:Googleの秘密会議でSpaceXと「軌道AIデータセンター」推進を協議、マスクの衛星軍は史上初のIPOを迎える)
(背景補足:AIセキュリティ新創企業Depthfirstは、Anthropicのモデル Mythos を打ち負かした!18年間潜伏していたNGINXの史上最大の脆弱性を発見、修正コストはわずか1/10)
この記事の目次
Toggle
OpenAIは4月末にオープンソースモデルの Privacy Filterをリリース——個人識別情報(PII)を自動検出・マスクする軽量モデルで、Hugging FaceにApache 2.0ライセンスで公開され、開発者の注目を集めた。しかし、この熱狂には不審な第三者も入り込んだ。
セキュリティ企業HiddenLayerは、偽アカウント「Open-OSS」がHugging Faceにほぼ同一内容のリポジトリを公開し、名前も同じく privacy-filter で、モデルカードもOpenAI公式版を逐語的にコピーしていることを発見した。唯一の違いはREADMEファイルに隠されており、そこにはユーザーにダウンロード後に start.bat(Windows)または loader.py(Linux/Mac)を実行させる指示が記されている。
18時間でトップに躍り出た、いいねの9割以上がボットアカウントから
この偽リポジトリはわずか18時間でHugging Faceの人気ランキング1位に到達し、約24万4千回のダウンロードと667の「いいね」を獲得した。HiddenLayerの追跡によると、そのうち657の「いいね」は自動化されたボットアカウントからのものであり、つまり全体の98%以上が偽装されたものであると推測される。ダウンロード数も同様に、同じ手法で水増しされている可能性が高く、実際の人気以上に見せかけて開発者を誘導している。
六段階攻撃チェーン:偽訓練画面からシステムレベルの権限窃取まで
このマルウェアの設計は非常に巧妙だ。
loader.pyを実行すると、偽のモデル訓練出力——進行状況バー、合成データセット、仮想クラス名——を表示し、まるで本物のAIローダーが動作しているかのように見せかける。しかし、その裏では安全性の検査を静かに無効化し、公開されているJSON投稿サイトからエンコードされたコマンドを取得し、それを隠されたPowerShellに渡している。このコマンドは、偽のブロックチェーン分析APIのドメイン(api.eth-fastscan.org)から2つ目のスクリプトをダウンロードし、そのスクリプトが本物の悪意あるペイロード——Rust言語で書かれたカスタム情報窃取ツール——をダウンロードさせる。ツールは自動的にWindows Defenderの除外リストに追加され、SYSTEM権限でスケジュールタスクを通じて起動される。タスクは即座に自己削除され、痕跡をほとんど残さない。
Chrome/Firefox、Discord、暗号通貨ウォレットを標的に
この情報窃取ツールは「一つも見逃さない」設計だ。ChromeとFirefoxに保存されたパスワード、セッションCookie、閲覧履歴、暗号化キーをすべて抽出し、Discordアカウント、暗号通貨ウォレットの助記詞(Seed Phrase)、SSHキー、FTP証明書も狙う。さらに、すべての画面のスクリーンショットを取り、攻撃者のコントロールするサーバーに圧縮されたJSON形式で送信する。
より巧妙なのは、このマルウェアが仮想マシンやサンドボックス環境での実行を検知し、検出した場合は静かに終了する仕組みだ。設計意図は、実際のターゲットに一度だけ攻撃を仕掛け、すべてを盗み去ったら姿を消すことにある。
一つの事件だけではない:少なくとも7つの悪意あるリポジトリが確認済み
HiddenLayerは、この事件は孤立したものではないと指摘する。同じコマンドサーバーの下で、「anthfu」というHugging Faceアカウントに、同じ悪意のあるローダーを使った6つのリポジトリが存在し、4月末にアップロードされた。これらの偽モデルにはQwen3、DeepSeek、Bonsaiなどがあり、いずれもAI開発者を標的としている。
攻撃者はOpenAIやHugging Face自体に侵入するのではなく、リアルな模倣版を公開し、ボットを使って人気ランキングを操作し、開発者にダウンロードさせている。このシナリオは、2024年のLottiePlayer JavaScriptライブラリのサプライチェーン攻撃でも再現されており、その際には一人のユーザーがビットコイン10枚(当時の価値で約70万ドル)を失った。
この偽リポジトリは現在Hugging Faceから削除されているが、記事執筆時点では、プラットフォーム側は新たな人気リポジトリの審査体制について何も発表していない。確認されている悪意のあるリポジトリは7つだが、未発見のものや既に削除されたものも含め、数は不明だ。
もしダウンロードしてしまったらどうすればいい?
セキュリティ専門家は、Windowsマシンに
Open-OSS/privacy-filterをコピーして実行した場合、そのデバイスは完全に感染したとみなすべきだとアドバイスしている。感染が確認されるまでは、そのPCから一切のサービスにログインしないこと。次に、ブラウザに保存されているすべての認証情報を変更し、クリーンなデバイス上で新しいウォレットを作成し、すぐに暗号資産を移動させること。Discordのセッションも無効化し、パスワードをリセット。SSHキーやFTP証明書も漏洩とみなして対処すべきだ。