Des modèles d'IA malveillants découverts sur Hugging Face se font passer pour des versions officielles d'OpenAI.

Un malicieux Visage étreint Un dépôt se faisant passer pour une version officielle d'OpenAI a été livré. logiciel voleur d'informations aux machines Windows — ce qui représente environ 244 000 téléchargements avant d'être supprimés. Selon une étude d'une entreprise spécialisée dans la sécurité de l'IA Couche cachéeIl est possible que le nombre de téléchargements ait été artificiellement gonflé par les attaquants pour rendre le modèle plus crédible, laissant ainsi l'ampleur réelle de l'attaque inconnue.

⚠️ Le dépôt 'Open-OSS/filtre de confidentialité' a imité de près la version Privacy Filter d'OpenAI — la carte du modèle original étant copiée presque à l'identique — tout en intégrant un code malveillant. chargeur.py fichier qui récupérait et exécutait un logiciel malveillant de vol d'identifiants sur des hôtes Windows.

Le faux dépôt a explosé. en tête de la liste des tendances de Hugging Face, s'accumulant 667 mentions « J’aime » en moins de 18 heures — un chiffre qui pourrait également avoir été manipulé par les attaquants.

🔗 Une menace croissante dans la chaîne d'approvisionnement de l'IA

Les registres publics de modèles d'IA représentent des risques croissants au sein de chaîne d'approvisionnement logicielleLes développeurs et les data scientists clonent régulièrement des modèles directement dans des environnements d'entreprise, c'est-à-dire des environnements ayant accès à code source, identifiants cloud et systèmes internesDans ce contexte, un référentiel de modèles compromis est bien plus qu'un simple désagrément.

Le fichier README du modèle frauduleux ressemblait beaucoup à celui du projet légitime, mais s'en distinguait de manière cruciale en demandant aux utilisateurs d'exécuter démarrer.bat sous Windows ou exécuter chargeur de Python.py sur Linux et macOS — des instructions qui étaient au cœur de la chaîne d'infection décrite par HiddenLayer.

🔍 Avertissements précédents Nous avons constaté que du code malveillant pouvait être dissimulé dans des fichiers de modèles d'IA ou dans des scripts d'installation associés sur Hugging Face et d'autres registres publics, y compris des fichiers de modèles sérialisés avec Pickle qui contournaient les scanners de la plateforme.

🛠️ Programme d'installation malveillant déguisé en code d'installation

HiddenLayer a découvert que chargeur.py S'ouvrant sur un code leurre ressemblant à un chargeur de modèle d'IA normal avant de basculer rapidement vers une chaîne d'infection dissimulée :

• 🔒 Un script Vérification SSL désactivée
• 🔗 Décodé un URL encodée en base64 lié à jsonkeeper.com
• 📡 Récupération d'une instruction de charge utile distante et transmission de commandes à PowerShell sous Windows
• 🔄 Utilisé jsonkeeper.com comme un canal de commande et de contrôle, permettant à l'attaquant de faire tourner les charges utiles sans modifier le dépôt

La commande PowerShell a ensuite téléchargé un fichier batch supplémentaire depuis un domaine contrôlé par l'attaquant. Le logiciel malveillant a établi persistance en créant une tâche planifiée conçue pour ressembler à une tâche légitime processus de mise à jour de Microsoft Edge.

💀 La charge utile finale était un Voleur d'informations basé sur Rust Ciblage : navigateurs basés sur Chromium et Firefox, stockage local de Discord, portefeuilles de cryptomonnaies, configurations FileZilla et données du système hôte. Il tentait également de Désactiver l'interface d'analyse anti-malware Windows (AMSI) et le suivi des événements.

🌐 Des campagnes plus vastes dévoilées

Couche cachée identifiée six dépôts supplémentaires de Hugging Face contenant une logique de chargement pratiquement identique et partageant l'infrastructure avec l'attaque principale. Ce cas fait suite à des avertissements antérieurs concernant des modèles d'IA malveillants sur Hugging Face, notamment SDK d'IA empoisonnés et faux installateurs OpenClaw.

Le point commun : Les attaquants utilisent les processus de développement de l'IA comme moyen d'accéder à des environnements normalement sécurisés. Les référentiels d'IA contiennent souvent du code exécutable, des instructions d'installation, des fichiers de dépendance, des notebooks et des scripts — et ce sont ces éléments périphériques, plutôt que les modèles eux-mêmes, qui introduisent des risques.

📊 Sakshi Grover, responsable de recherche senior pour les services de cybersécurité chez IDC, a noté que l'analyse traditionnelle de la composition logicielle (SCA) était conçue pour inspecter les manifestes de dépendances, les bibliothèques et les images de conteneurs, ce qui la rendait moins efficace pour identifier la logique de chargement malveillante dans les référentiels d'IA.

IDC Novembre 2025 FutureScape Le rapport prévoyait que d'ici En 2027, 60 % des systèmes d'IA agentifs devraient disposer d'une nomenclature des matériaux. — aider les entreprises à suivre les artefacts d'IA, leurs sources, les versions approuvées et à déterminer s'ils contiennent des composants exécutables.

🚨 Réponse et atténuation

HiddenLayer conseille à toute personne ayant cloné Filtre de confidentialité open-OSS et courut démarrer.bat, chargeur de Python.py, ou tout fichier du dépôt sur un hôte Windows vers considérer le système comme totalement compromis et recommande réimagerie des systèmes affectés.

• 🍪 Les sessions de navigation doivent être considérées comme compromises. même si les mots de passe ne sont pas stockés localement, les cookies de session peuvent permettre aux attaquants de contourner l'authentification multifacteur dans certaines circonstances.
• ✅ Hugging Face a confirmé Le dépôt a été supprimé.

Source de l'image : Pixabay, sous licence.

Vous souhaitez en savoir plus sur l'IA et le big data auprès des leaders du secteur ? Consultez le Salon de l'IA et du Big Data se déroulant à Amsterdam, en Californie et à Londres — une partie de TechEx et organisés en même temps que d'autres événements technologiques de premier plan.

AI News est alimenté par TechForge MediaDécouvrez d'autres événements et webinaires à venir sur les technologies d'entreprise. ici.