Auf Hugging Face wurden bösartige KI-Modelle entdeckt, die als offizielle OpenAI-Veröffentlichungen getarnt sind.

Ein böswilliger Umarmendes Gesicht Ein Repository, das sich als offizielle OpenAI-Version ausgibt, wurde ausgeliefert. infostealer malware auf Windows-Rechnern – insgesamt etwa 244.000 Downloads vor der Entfernung. Laut einer Studie des KI-Sicherheitsunternehmens Versteckte EbeneMöglicherweise wurde die Downloadzahl von den Angreifern künstlich aufgebläht, um das Modell glaubwürdiger erscheinen zu lassen, sodass das wahre Ausmaß des Angriffs unbekannt bleibt.

⚠️ Das Repository 'Open-OSS/privacy-filter' Die Veröffentlichung des OpenAI Privacy Filters wurde eng nachgeahmt – die Original-Modellkarte wurde nahezu exakt kopiert – während gleichzeitig ein bösartiger Code eingebettet wurde. loader.py Datei, die Malware zum Diebstahl von Anmeldeinformationen auf Windows-Hosts abrief und ausführte.

Das gefälschte Repository erreichte einen Höchststand. An der Spitze der "Trending"-Liste von Hugging Face, sich anhäufen 667 Likes in weniger als 18 Stunden — eine Zahl, die möglicherweise auch von den Angreifern manipuliert wurde.

🔗 Eine wachsende Bedrohung in der KI-Lieferkette

Öffentliche KI-Modellregister stellen zunehmend ein Risiko dar. Software-LieferketteEntwickler und Datenwissenschaftler klonen Modelle routinemäßig direkt in Unternehmensumgebungen – Umgebungen mit Zugriff auf Quellcode, Cloud-Zugangsdaten und interne SystemeEin kompromittiertes Modellrepository ist in diesem Kontext weit mehr als nur ein Ärgernis.

Die README-Datei des betrügerischen Modells ähnelte zwar stark dem legitimen Projekt, unterschied sich aber entscheidend dadurch, dass sie die Benutzer anwies, Folgendes auszuführen: start.bat unter Windows oder ausführen python loader.py auf Linux und macOS – Anweisungen, die für die von HiddenLayer beschriebene Infektionskette von zentraler Bedeutung waren.

🔍 Vorherige Warnungen haben festgestellt, dass bösartiger Code in KI-Modelldateien oder zugehörigen Setup-Skripten auf Hugging Face und anderen öffentlichen Registries versteckt sein kann – einschließlich Pickle-serialisierter Modelldateien, die die Plattformscanner umgangen haben.

🛠️ Schadprogramm als Setup-Code getarnt

HiddenLayer stellte fest, dass loader.py Die Anwendung wurde mit einem Ködercode gestartet, der einem normalen KI-Modelllader ähnelte, bevor sie schnell in eine verborgene Infektionskette überging:

• 🔒 Ein Drehbuch SSL-Verifizierung deaktiviert
• 🔗 Entschlüsselt ein Base64-kodierte URL verknüpft mit jsonkeeper.com
• 📡 Eine Remote-Payload-Anweisung empfangen und Befehle an diese übermittelt PowerShell unter Windows
• 🔄 Verwendet jsonkeeper.com als Befehls- und KontrollkanalDies ermöglicht es dem Angreifer, die Nutzdaten zu wechseln, ohne das Repository zu verändern.

Der PowerShell-Befehl lud anschließend eine zusätzliche Batchdatei von einer vom Angreifer kontrollierten Domäne herunter. Die Schadsoftware etablierte sich Persistenz indem eine geplante Aufgabe erstellt wird, die einer legitimen Aufgabe ähnelt. Microsoft Edge-AktualisierungsprozessDie

💀 Die endgültige Nutzlast war ein Rust-basierter Infostealer Ziel der Angriffe waren: Chromium- und Firefox-basierte Browser, der lokale Speicher von Discord, Kryptowährungs-Wallets, FileZilla-Konfigurationen und Daten des Hostsystems. Außerdem wurde versucht, Windows-Antimalware-Scanschnittstelle (AMSI) und Ereignisverfolgung deaktivierenDie

🌐 Umfassendere Kampagnen aufgedeckt

HiddenLayer identifiziert sechs weitere Hugging Face-Repositories enthielt praktisch identische Ladelogik und nutzte dieselbe Infrastruktur wie der primäre Angriff. Dieser Fall folgt früheren Warnungen vor bösartigen KI-Modellen auf Hugging Face, einschließlich vergiftete KI-SDKs Und gefälschte OpenClaw-InstallateureDie

Der gemeinsame Nenner: Angreifer nutzen KI-Entwicklungsprozesse als Einfallstor in normalerweise sichere Umgebungen. KI-Repositories enthalten oft ausführbaren Code, Setup-Anweisungen, Abhängigkeitsdateien, Notebooks und Skripte – und es sind diese peripheren Elemente, und nicht die Modelle selbst, die ein Risiko darstellen.

📊 Sakshi Grover, Senior Research Manager für Cybersicherheitsdienste bei IDC, merkte an, dass die traditionelle Software Composition Analysis (SCA) zur Untersuchung von Abhängigkeitsmanifesten, Bibliotheken und Container-Images entwickelt wurde – was sie weniger effektiv bei der Identifizierung bösartiger Ladelogik in KI-RepositoriesDie

IDCs Zukunftsszenario November 2025 Der Bericht sagte voraus, dass bis Bis 2027 sollten 60 % der agentenbasierten KI-Systeme eine Stückliste enthalten. — Unterstützung von Unternehmen bei der Verfolgung von KI-Artefakten, deren Quellen, genehmigten Versionen und der Frage, ob sie ausführbare Komponenten enthalten.

🚨 Reaktion und Schadensbegrenzung

HiddenLayer rät allen, die geklont haben Open-OSS/Datenschutzfilter und rannte start.bat, python loader.pyoder eine beliebige Datei aus dem Repository auf einem Windows-Host an Das System wird als vollständig kompromittiert betrachtet. und empfiehlt Neuinstallation der betroffenen SystemeDie

• 🍪 Browsersitzungen sollten als kompromittiert betrachtet werden. Selbst wenn Passwörter nicht lokal gespeichert werden – Session-Cookies können Angreifern unter bestimmten Umständen ermöglichen, die Multi-Faktor-Authentifizierung zu umgehen.
• ✅ Hugging Face hat bestätigt Das Repository wurde entfernt

Bildquelle: Pixabay, unter Lizenz.

Möchten Sie mehr über KI und Big Data von Branchenführern erfahren? Dann schauen Sie sich Folgendes an: KI- und Big-Data-Expo findet in Amsterdam, Kalifornien und London statt – Teil von TechEx und fand zeitgleich mit anderen führenden Technologieveranstaltungen statt.

AI News wird bereitgestellt von TechForge MediaEntdecken Sie weitere bevorstehende Veranstaltungen und Webinare im Bereich Unternehmenstechnologie. HierDie