Repo OpenAI giả mạo đứng đầu #1 trên Hugging Face—Và đã đánh cắp mật khẩu trong khi nó đang thịnh hành

Tóm tắt ngắn gọn

• Một kho lưu trữ độc hại trên Hugging Face mạo danh mô hình Bộ lọc quyền riêng tư của OpenAI đã đứng đầu xu hướng trên nền tảng.
• Phần mềm độc hại này đã ghi nhận khoảng 244.000 lượt tải xuống và 667 lượt thích trong chưa đầy 18 giờ trước khi bị gỡ bỏ.
• Kho lưu trữ cung cấp một phần mềm thu thập thông tin gồm sáu giai đoạn, thu thập mật khẩu trình duyệt, token Discord, khóa ví crypto và thông tin đăng nhập SSH từ các máy Windows—sau đó âm thầm gửi tất cả về các máy chủ do kẻ tấn công kiểm soát.

OpenAI đã phát hành Privacy Filter vào cuối tháng Tư—một mô hình nhỏ, mở trọng lượng được xây dựng để phát hiện và tự động chỉnh sửa thông tin cá nhân có thể nhận dạng từ văn bản. Nó đã xuất hiện trên Hugging Face dưới giấy phép Apache 2.0 và nhanh chóng thu hút sự quan tâm của các nhà phát triển. Một người nào đó đã để ý. Trong vòng vài ngày, một tài khoản giả mạo tên là “Open-OSS” đã đăng tải một kho lưu trữ gần như giống hệt tên privacy-filter. Thẻ mô hình đã được sao chép từng từ từ mô hình của OpenAI. Điểm khác biệt duy nhất trong tệp “đọc tôi”: hướng dẫn sao chép repo và chạy một tệp gọi là start.bat trên Windows, hoặc loader.py trên Linux và Mac. Trong vòng 18 giờ, kho lưu trữ giả đã đứng đầu trang xu hướng của Hugging Face—ghi nhận khoảng 244.000 lượt tải xuống và 667 lượt thích. HiddenLayer, công ty an ninh AI đã phát hiện chiến dịch này, cho biết 657 trong số 667 lượt thích đến từ các tài khoản phù hợp với các mẫu đặt tên bot tự sinh dự đoán được.

Số lượt tải xuống gần như chắc chắn đã bị làm giả theo cùng cách đó. Bằng chứng xã hội giả tạo để làm cho mồi nhử trông thật. Cách phần mềm độc hại thực sự hoạt động Phần mềm độc hại về cơ bản hoạt động như một viên thuốc độc được bọc trong lớp kẹo rất thuyết phục. Script loader.py bắt đầu bằng đầu ra giả mạo về quá trình đào tạo mô hình—các thanh tiến trình, bộ dữ liệu tổng hợp, tên lớp giả—được thiết kế để trông giống như một trình tải AI thật đang chạy. Dưới lớp vỏ, nó âm thầm vô hiệu hóa các kiểm tra bảo mật, lấy một lệnh mã hóa từ một trang dán JSON công cộng (một thủ thuật thông minh: không cần cập nhật kho lưu trữ khi payload thay đổi), và truyền lệnh đó đến PowerShell chạy ẩn hoàn toàn phía sau. Người dùng Windows không thấy gì. 

Lệnh đó tải xuống một script thứ hai từ một tên miền giả mạo API phân tích blockchain. Script này tải xuống phần mềm độc hại thực sự—một phần mềm thu thập thông tin tùy chỉnh viết bằng Rust—thêm nó vào danh sách loại trừ của Windows Defender, rồi khởi chạy nó với quyền SYSTEM thông qua một tác vụ định kỳ tự xóa sau khi thực thi. Toàn bộ chuỗi hoạt động chạy và tự dọn dẹp, hầu như không để lại dấu vết. Payload cuối cùng rất toàn diện. Nó lấy tất cả dữ liệu lưu trong Chrome và Firefox—mật khẩu đã lưu, cookie phiên, lịch sử trình duyệt, khóa mã hóa, mọi thứ. Nó nhắm vào tài khoản Discord, cụm seed ví tiền mã hóa, khóa SSH, thông tin đăng nhập FTP, và chụp màn hình tất cả các màn hình. Sau đó, nó đóng gói tất cả thành một bundle JSON nén và gửi về các máy chủ do kẻ tấn công kiểm soát. Chúng ta không cần phải nói cho bạn biết hacker có thể làm gì với tất cả thông tin đó sau này. Phần mềm độc hại cũng kiểm tra xem nó có đang chạy trong máy ảo hoặc sandbox bảo mật không, và sẽ thoái lui yên lặng nếu phát hiện ra. Nó được thiết kế để chạy một lần trên các mục tiêu thực, lấy cắp mọi thứ, rồi biến mất. Tại sao điều này lớn hơn chỉ một kho lưu trữ Đây không phải là một sự cố riêng lẻ. Nó là một phần của một mô hình. HiddenLayer đã xác định sáu kho lưu trữ bổ sung dưới một tài khoản Hugging Face riêng tên là “anthfu,” được tải lên vào cuối tháng Tư, sử dụng cùng một trình tải độc hại trỏ đến cùng một máy chủ lệnh. Những kho lưu trữ này mạo danh các mô hình như Qwen3, DeepSeek, và Bonsai để lôi kéo các nhà phát triển AI. Hạ tầng này—một tên miền gọi là api.eth-fastscan.org—cũng được quan sát là chứa một mẫu phần mềm độc hại riêng biệt gửi tín hiệu đến máy chủ lệnh. HiddenLayer tin rằng mối liên hệ giữa hai chiến dịch này là “có thể liên quan” và cảnh báo rằng hạ tầng chia sẻ không xác nhận một nhà điều hành duy nhất. Đây chính là hình thức tấn công chuỗi cung ứng đối với cộng đồng nhà phát triển AI. Kẻ tấn công không xâm nhập vào OpenAI hay Hugging Face. Họ chỉ cần đăng tải một bản sao trông giống thật, thao túng thuật toán xu hướng bằng bot, và chờ đợi các nhà phát triển làm phần còn lại. Một chiến lược tương tự đã tấn công thư viện JavaScript Lottie Player vào năm 2024, khiến một người dùng mất 10 Bitcoin (hơn 700.000 USD vào thời điểm đó). Nếu bạn đã tải xuống nó thì sao? Nếu bạn đã sao chép Open-OSS/privacy-filter trên một máy Windows và chạy bất kỳ tệp nào từ đó, bạn nên coi thiết bị đó đã bị xâm phạm hoàn toàn. Đừng đăng nhập vào bất cứ thứ gì từ máy đó trước khi xóa sạch.

Sau đó, thay đổi tất cả các thông tin đăng nhập đã lưu trong trình duyệt của bạn—mật khẩu, cookie phiên, token OAuth. Chuyển mọi quỹ crypto sang một ví mới được tạo trên thiết bị sạch càng sớm càng tốt và giả định rằng các cụm seed đã bị đánh cắp. Vì nó cũng lấy thông tin Discord của bạn, và dịch vụ này rất tự động, bạn nên hủy bỏ các phiên Discord của mình và đặt lại mật khẩu đó. Bất kỳ khóa SSH hoặc thông tin đăng nhập FTP nào trên máy đó cũng nên coi như đã bị hủy bỏ. Kho lưu trữ hiện đã bị gỡ bỏ. Huggingface chưa tiết lộ các biện pháp kiểm tra bổ sung nào, nếu có, sẽ được thực hiện cho các kho lưu trữ xu hướng. Tính đến nay, đã xác định được bảy kho lưu trữ độc hại đã được xác nhận từ chiến dịch này. Số lượng còn lại hoặc đã tồn tại trước khi bị phát hiện vẫn chưa rõ.