Se han descubierto modelos de IA maliciosos en Hugging Face, disfrazados como lanzamientos oficiales de OpenAI.

Un malicioso Cara de abrazo repositorio que se hace pasar por una versión oficial de OpenAI entregada malware de robo de información a máquinas Windows, acumulando aproximadamente 244.000 descargas antes de ser eliminado. Según una investigación de una empresa de seguridad de IA Capa ocultaEs posible que los atacantes hayan inflado artificialmente el número de descargas para que el modelo pareciera más creíble, lo que deja sin resolver el verdadero alcance del ataque.

⚠️ El repositorio 'Open-OSS/filtro de privacidad' Imitó fielmente la versión Privacy Filter de OpenAI —con la tarjeta del modelo original copiada casi exactamente— mientras incrustaba un código malicioso. cargador.py Archivo que descargaba y ejecutaba malware para robar credenciales en equipos Windows.

El repositorio falso se disparó a la en lo más alto de la lista de "tendencias" de Hugging Face, acumulándose 667 me gusta en menos de 18 horas — una cifra que también podría haber sido manipulada por los atacantes.

🔗 Una amenaza creciente en la cadena de suministro de IA

Los registros públicos de modelos de IA se están convirtiendo cada vez más en riesgos dentro de la cadena de suministro de softwareLos desarrolladores y los científicos de datos clonan rutinariamente modelos directamente en entornos corporativos, entornos con acceso a código fuente, credenciales en la nube y sistemas internosEn este contexto, un repositorio de modelos comprometido es mucho más que una simple molestia.

El archivo README del modelo fraudulento se parecía mucho al proyecto legítimo, pero divergía críticamente al instruir a los usuarios a ejecutar start.bat en Windows o ejecutar cargador de Python.py en Linux y macOS: instrucciones que fueron fundamentales para la cadena de infección descrita por HiddenLayer.

🔍 Advertencias anteriores Se ha observado que se puede ocultar código malicioso dentro de los archivos de modelos de IA o en los scripts de configuración relacionados en Hugging Face y otros registros públicos, incluidos los archivos de modelos serializados con Pickle que eludieron los escáneres de la plataforma.

🛠️ Cargador malicioso disfrazado de código de instalación

HiddenLayer descubrió que cargador.py Se abrió con un código señuelo que se asemejaba a un cargador de modelo de IA normal antes de pasar rápidamente a una cadena de infección oculta:

• 🔒 Un guion Verificación SSL desactivada
• 🔗 Decodificado un URL codificada en base64 vinculado a jsonkeeper.com
• 📡 Se recuperó una instrucción de carga útil remota y se pasaron comandos a PowerShell en Windows
• 🔄 Usado jsonkeeper.com como un canal de mando y control, lo que permite al atacante rotar las cargas útiles sin modificar el repositorio.

El comando PowerShell luego descargó un archivo por lotes adicional de un dominio controlado por el atacante. El malware establecido persistencia mediante la creación de una tarea programada diseñada para parecerse a una tarea legítima Proceso de actualización de Microsoft Edge.

💀 La carga útil final era un Ladrón de información basado en Rust Dirigido a: navegadores basados ​​en Chromium y Firefox, almacenamiento local de Discord, monederos de criptomonedas, configuraciones de FileZilla y datos del sistema host. También intentó Deshabilitar la interfaz de análisis antimalware de Windows (AMSI) y el seguimiento de eventos..

🌐 Se descubren campañas más amplias

Capa oculta identificada seis repositorios adicionales de Hugging Face que contiene una lógica de carga prácticamente idéntica que compartía infraestructura con el ataque principal. Este caso sigue a advertencias previas sobre modelos de IA maliciosos en Hugging Face, incluyendo SDK de IA envenenados y Instaladores falsos de OpenClaw.

El hilo conductor: Los atacantes están utilizando los flujos de trabajo de desarrollo de IA como una vía de acceso a entornos normalmente seguros. Los repositorios de IA suelen contener código ejecutable, instrucciones de configuración, archivos de dependencias, cuadernos y scripts; y son estos elementos periféricos, más que los modelos en sí, los que introducen riesgos.

📊 Sakshi Grover, Gerente sénior de investigación de servicios de ciberseguridad en IDC, señaló que el análisis de composición de software (SCA) tradicional fue diseñado para inspeccionar manifiestos de dependencias, bibliotecas e imágenes de contenedores, lo que lo hace Menos eficaz a la hora de identificar lógica de carga maliciosa en repositorios de IA..

IDC Panorama futuro de noviembre de 2025 El informe predijo que por En 2027, el 60% de los sistemas de IA con agentes deberían tener una lista de materiales. — ayudando a las empresas a rastrear los artefactos de IA, sus fuentes, las versiones aprobadas y si contienen componentes ejecutables.

🚨 Respuesta y mitigación

HiddenLayer aconseja a cualquiera que haya clonado Filtro de privacidad/código abierto y corrió start.bat, cargador de Python.pyo cualquier archivo del repositorio en un host Windows a tratar el sistema como si estuviera totalmente comprometido y recomienda Re-imagen de los sistemas afectados.

• 🍪 Las sesiones del navegador deben considerarse comprometidas. Aunque las contraseñas no se almacenen localmente, las cookies de sesión pueden permitir a los atacantes eludir la autenticación multifactor en determinadas circunstancias.
• ✅ Hugging Face lo ha confirmado El repositorio ha sido eliminado

Fuente de la imagen: Pixabay, bajo licencia.

¿Quieres aprender más sobre IA y big data de la mano de líderes del sector? Consulta la Exposición de IA y Big Data que tiene lugar en Ámsterdam, California y Londres — parte de TechEx y se celebra conjuntamente con otros eventos tecnológicos destacados.

AI News funciona gracias a Medios de TechForgeExplore otros próximos eventos y seminarios web sobre tecnología empresarial. aquí.