Un dépôt frauduleux sur Hugging Face a imité le projet Privacy Filter d’OpenAI pour distribuer un malware volent des informations auprès des utilisateurs Windows.
Ce dépôt a occupé la première place des tendances sur la plateforme et enregistré 244 000 téléchargements avant sa suppression suite à des signalements.
Hugging Face permet aux développeurs et chercheurs de partager des modèles d’IA, des ensembles de données et des outils d’apprentissage automatique. Ces modèles consistent en des systèmes d’IA pré-entraînés incluant des fichiers de poids, des configurations et du code.
Découverte par des experts en sécurité
Des chercheurs de HiddenLayer, spécialiste de la protection des modèles d’IA et d’apprentissage automatique contre les attaques, ont repéré cette opération le 7 mai. Le dépôt malveillant, baptisé Open-OSS/privacy-filter, copiait presque mot pour mot la fiche du vrai projet OpenAI et incluait un fichier loader.py.
Instructions from the malicious repository
Source: HiddenLayer
Ce script Python masquait du code inoffensif lié à l’IA tout en désactivant la vérification SSL, en décodant une URL encodée en base64 vers une ressource externe, puis en récupérant et exécutant une charge JSON avec une commande PowerShell.
Cette commande, lancée dans une fenêtre invisible, télécharge un fichier batch start.bat chargé d’une escalade de privilèges, du téléchargement de la charge finale nommée sefirah, de son ajout aux exclusions de Microsoft Defender et de son exécution.
Fonctionnalités du malware
La charge finale, développée en Rust, vole des données sensibles comme les informations des navigateurs basés sur Chromium et Gecko (cookies, mots de passe, clés de chiffrement, historique, jetons de session), les jetons Discord, bases de données locales, portefeuilles de cryptomonnaies et extensions associées, identifiants SSH, FTP et VPN (y compris FileZilla), fichiers locaux sensibles, informations système et captures d’écran multi-écrans.
Les données volées subissent une compression avant exfiltration vers un serveur de commandement et contrôle à l’adresse recargapopular[.]com.
HiddenLayer souligne les mécanismes anti-analyse avancés du malware, avec des détections de machines virtuelles, bacs à sable, débogueurs et outils d’analyse pour contourner les systèmes de détection.
Portée et connexions
Le nombre exact de victimes reste inconnu. Parmi les 667 comptes ayant liké le dépôt sur Hugging Face, la plupart semblent générés automatiquement. Le compteur de 244 000 téléchargements pourrait aussi être artificiellement gonflé.
L’examen de ces comptes a révélé d’autres dépôts utilisant la même infrastructure de chargement malveillant, avec des liens vers une campagne de typosquatting sur npm diffusant l’implant WinOS 4.0.
Les acteurs de menaces ont déjà exploité Hugging Face par le passé pour héberger des modèles malveillants, malgré les mesures de sécurité en place.