Hugging Face розмістила шкідливе програмне забезпечення, яке видавало себе за реліз від OpenAI
Зловмисне програмне забезпечення на Hugging Face: фальшивий реліз OpenAI
Чи чули ви про останній випадок компрометації репозиторію на популярній платформі для обміну AI моделями Hugging Face? Ну, якщо ні, то вам варто бути в курсі. Нещодавно з’явився зловмисний репозиторій, який маскував себе під легітимний реліз OpenAI, але насправді поширював інфостілерне програмне забезпечення на комп’ютери з Windows. Це стало гарячою новинкою, коли він був завантажений приблизно 244,000 разів до його видалення.
Згідно з дослідженням компанії HiddenLayer, яка спеціалізується на безпеці в сфері штучного інтелекту, зловмисники могли штучно завищити кількість завантажень, щоб привернути більше уваги до своєї “моделі”. Таким чином, справжній обсяг впливу цього атаки залишається загадкою.
Підроблена модель Open-OSS/privacy-filter
Зловмисники представили свою модель під назвою ‘Open-OSS/privacy-filter’, яка імітувала справжній випуск OpenAI Privacy Filter. Для досягнення своєї мети, вони практично скопіювали оригінальну модельну картку, але включили шкідливий файл loader.py. Цей файл завантажував і запускав програмне забезпечення для крадіжки облікових даних на комп’ютерах з Windows.
Не дивно, що цей репозиторій швидко став трендовим на Hugging Face, набравши 667 лайків менше ніж за 18 годин. Проте ці цифри, знову ж таки, можуть бути підроблені самими зловмисниками.
Ризики в ланцюзі поставок
Публічні AI моделі-реєстри, такі як Hugging Face, можуть нести великі ризики в ланцюзі поставок програмного забезпечення. Розробники й науковці часто клонують моделі безпосередньо в корпоративні середовища, відкриваючи шлях до вихідного коду, облікових даних хмари та внутрішніх систем. Це робить компрометовані репозиторії значно більшим ризиком, ніж просто неприємність.
Загадковий репозиторій на Hugging Face виглядав досить легітимно, що вводить в оману багатьох користувачів. Його README файл виглядав майже ідентично справжньому проекту, однак з однією суттєвою відмінністю: інструкції запуску. Користувачам пропонувалося запускати start.bat на Windows або виконувати python loader.py на Linux і macOS. Це стало центральною ланкою в ланцюзі зараження, який HiddenLayer детально описує.
Попередження для спільноти
Дослідники вже тривалий час попереджають про можливість приховування шкідливого коду всередині AI моделей або супутніх скриптів на Hugging Face та подібних платформах. І це не тільки теоретична загроза. Вже були випадки, коли шкідливий код обійшов такі сканери, як це сталося з Pickle-серіалізованими файлами моделей.
Loader.py спочатку нагадував нормальний завантажувач моделі AI, але насправді ховав під капотом цілий ланцюг зараження. HiddenLayer відзначила, що використання jsonkeeper.com в якості каналу управління і контролю дозволило зловмисникам обертати завантаження без зміни вмісту репозиторію. Це стало серйозною загрозою для численних комп’ютерів під керівництвом Windows, і варто вжити заходів обережності, щоб уникнути подібних інцидентів у майбутньому.
