Бывшая модель OpenAI с открытым исходным кодом стала чемпионом на Hugging Face!
240 000 скачиваний скрывают вредоносное ПО

Информационная безопасность компания HiddenLayer раскрыла, что вредоносная модель, выдающая себя за OpenAI Privacy Filter, за всего 18 часов взлетела на вершину популярного рейтинга на Hugging Face, привлекая более 240 тысяч скачиваний, и скрывает шестиэтапный Rust-основанный кражу информации, нацеленный на браузерные пароли, мнемонические фразы криптовалютных кошельков и SSH-ключи.
(Предыстория: WSJ: Google тайно встречается с SpaceX для обсуждения продвижения «орбитального AI дата-центра», миллионы спутников Маска готовятся к эпической IPO)
(Дополнительный фон: Новая AI-безопасностная стартап-компания Depthfirst объявила о победе над моделью Mythos от Anthropic! Обнаружена эпическая уязвимость NGINX, существовавшая 18 лет, с затратами на обнаружение всего 1/10)

Содержание статьи

Переключить

• За 18 часов взлетела на вершину популярного рейтинга, почти 90% лайков от аккаунтов-роботов
• Шестэтапная цепочка атаки: от фальшивых тренировочных данных до системных привилегий
• Нацелена на Chrome/Firefox, Discord, криптовалютные кошельки
• Не единичное событие: выявлено как минимум семь вредоносных репозиториев
• Что делать, если вы скачали?

В конце апреля OpenAI выпустила открытый исходный код модели Privacy Filter — легкий, автоматический инструмент для обнаружения и маскировки личной идентифицируемой информации (PII) в тексте, распространяемый под лицензией Apache 2.0 на Hugging Face, что быстро привлекло внимание разработчиков. Однако, эта волна популярности также привлекла нежелательных гостей.

Компания по информационной безопасности HiddenLayer раскрыла, что под фейковым аккаунтом «Open-OSS» на Hugging Face был опубликован почти идентичный репозиторий, название которого также privacy-filter, а описание модели полностью скопировано с официальной версии OpenAI. Единственное отличие — в файле readme, который направляет пользователей скачать и запустить start.bat (Windows) или loader.py (Linux/Mac).

За 18 часов взлетела на вершину популярного рейтинга, почти 90% лайков от аккаунтов-роботов

Этот фейковый репозиторий за короткое время занял первое место в рейтинге Hugging Face, собрав около 244 000 скачиваний и 667 лайков. HiddenLayer обнаружила, что 657 из этих лайков пришли от аккаунтов, соответствующих автоматизированной схеме именования — то есть более 98% социальных сигналов — поддельные. Количество скачиваний также, вероятно, было накручено тем же методом, создавая иллюзию популярности и заманивая настоящих разработчиков.

Шестэтапная цепочка атаки: от фальшивых тренировочных данных до системных привилегий

Эта вредоносная программа спроектирована очень изящно. При запуске loader.py сначала показывает поддельный вывод обучения модели — прогресс-бар, синтетический датасет, виртуальные имена классов — создается впечатление, что запускается настоящий AI-модуль. Но в фоновом режиме она тихо отключает системы защиты, скачивая закодированную команду с открытой JSON-постовой платформы, передавая ее в скрытую PowerShell.

Эта команда скачивает вторую команду с домена, имитирующего API анализа блокчейна (api.eth-fastscan.org), а затем эта команда загружает настоящий вредоносный payload — специально разработанный кражу информации на языке Rust. Он автоматически исключает себя из Windows Defender, запускается с SYSTEM-правами через запланированную задачу, которая после выполнения удаляет саму себя, практически не оставляя следов.

Нацелена на Chrome/Firefox, Discord, криптовалютные кошельки

Этот кража информации — «не оставит ни одного камня». Он собирает все данные, сохраненные в Chrome и Firefox — пароли, сессионные куки, историю браузера, шифрованные ключи; нацеливается на аккаунты Discord, мнемонические фразы криптовалютных кошельков (Seed Phrase), SSH-ключи, FTP-учетные данные; делает скриншоты всего экрана. В конце все данные упаковываются в сжатый JSON-архив и отправляются на сервер злоумышленника.

Еще хитрее, что этот вредоносный софт проверяет, работает ли он в виртуальной машине или в безопасной песочнице, и если да — тихо выходит из системы. Его дизайн — однократная атака на реальную цель, кража всего и исчезновение без следа.

Не единичное событие: выявлено как минимум семь вредоносных репозиториев

HiddenLayer указывает, что это не единичный случай. Они обнаружили, что под одним командным сервером размещены еще шесть репозиториев на Hugging Face под аккаунтом «anthfu», использующие полностью идентичный вредоносный загрузчик, опубликованные в конце апреля. Взломанные модели включают Qwen3, DeepSeek и Bonsai, также нацеленные на AI-разработчиков.

Злоумышленники не взламывают сами OpenAI или Hugging Face, а публикуют поддельные версии, используют ботов для накрутки популярности, а затем ждут, пока разработчики сами не скачивают и не запустят. Такой сценарий уже разыгрывался в цепочке поставок JavaScript-библиотеки LottiePlayer в 2024 году, когда один пользователь потерял 10 биткоинов (на тот момент — более 70 тысяч долларов).

Этот фейковый репозиторий уже удален Hugging Face, но на момент публикации платформа еще не объявила о новых механизмах проверки популярных репозиториев. Известно о семи вредоносных репозиториях, а сколько еще скрыто или уже удалено — остается неизвестным.

Что делать, если вы скачали?

Эксперты по безопасности советуют, что если вы скопировали Open-OSS/privacy-filter на Windows и запустили любой файл из него, ваш компьютер полностью скомпрометирован — перед очисткой не входите в аккаунты на этом устройстве. Затем смените все пароли, сохраненные в браузере, и на чистом устройстве создайте новые кошельки, сразу переведите криптовалюту. Восстановите сессию Discord, сбросьте пароли, а SSH-ключи и FTP-учетные данные — считаются скомпрометированными.