Modelos de IA maliciosos encontrados no Hugging Face disfarçados de versões oficiais da OpenAI

Um malicioso Rosto de abraço repositório se passando por uma versão oficial da OpenAI entregue malware de roubo de informações para máquinas Windows — acumulando aproximadamente 244.000 downloads antes de ser removido. De acordo com uma pesquisa da empresa de segurança de IA CamadaOculta, o número de downloads pode ter sido inflado artificialmente pelos atacantes para tornar o modelo mais credível, deixando o verdadeiro alcance do ataque desconhecido.

⚠️ O repositório 'Open-OSS/filtro de privacidade' imitou de perto a versão do Privacy Filter da OpenAI — com o modelo original copiado quase exatamente — enquanto incorporava um código malicioso. carregador.py Arquivo que buscava e executava malware para roubo de credenciais em hosts Windows.

O repositório falso disparou para o no topo da lista de "tendências" da Hugging Face, acumulando 667 curtidas em menos de 18 horas — um número que também pode ter sido manipulado pelos atacantes.

🔗 Uma ameaça crescente na cadeia de suprimentos de IA

Os registros públicos de modelos de IA estão se tornando cada vez mais arriscados dentro do setor. cadeia de suprimentos de softwareDesenvolvedores e cientistas de dados rotineiramente clonam modelos diretamente em ambientes corporativos — ambientes com acesso a código-fonte, credenciais da nuvem e sistemas internosNesse contexto, um repositório de modelos comprometido é muito mais do que um mero incômodo.

O arquivo README do modelo fraudulento era muito semelhante ao do projeto legítimo, mas divergia criticamente ao instruir os usuários a executar iniciar.bat no Windows ou execute carregador python.py no Linux e no macOS — instruções que foram fundamentais para a cadeia de infecção descrita pela HiddenLayer.

🔍 Avisos anteriores Observou-se que códigos maliciosos podem estar ocultos em arquivos de modelos de IA ou scripts de configuração relacionados no Hugging Face e em outros registros públicos — incluindo arquivos de modelos serializados em Pickle que burlaram os scanners da plataforma.

🛠️ Carregador malicioso disfarçado de código de instalação

HiddenLayer descobriu que carregador.py Abriu com um código falso semelhante a um carregador de modelo de IA normal antes de rapidamente fazer a transição para uma cadeia de infecção oculta:

• 🔒 Um roteiro Verificação SSL desativada
• 🔗 Decodificado um URL codificada em base64 ligado a jsonkeeper.com
• 📡 Recuperou uma instrução de carga útil remota e transmitiu comandos para PowerShell no Windows
• 🔄 Usado jsonkeeper.com como um canal de comando e controle, permitindo que o atacante alterne os payloads sem modificar o repositório.

O comando do PowerShell baixou então um arquivo em lote adicional de um domínio controlado pelo invasor. O malware estabeleceu persistência criando uma tarefa agendada projetada para se assemelhar a uma tarefa legítima. Processo de atualização do Microsoft Edge.

💀 A carga útil final era um ladrão de informações baseado em Rust O ataque teve como alvo navegadores baseados em Chromium e Firefox, armazenamento local do Discord, carteiras de criptomoedas, configurações do FileZilla e dados do sistema host. Também tentou... Desative a Interface de Verificação Antimalware do Windows (AMSI) e o Rastreamento de Eventos..

🌐 Campanhas mais abrangentes reveladas

HiddenLayer identificado seis repositórios adicionais do Hugging Face contendo lógica de carregamento praticamente idêntica que compartilhava infraestrutura com o ataque principal. Este caso segue alertas anteriores sobre modelos de IA maliciosos na Hugging Face, incluindo SDKs de IA envenenados e instaladores falsos do OpenClaw.

O fio condutor: Os atacantes estão tratando os fluxos de trabalho de desenvolvimento de IA como uma porta de entrada para ambientes normalmente seguros. Os repositórios de IA geralmente contêm código executável, instruções de configuração, arquivos de dependência, notebooks e scripts — e são esses elementos periféricos, e não os próprios modelos, que introduzem o risco.

📊 Sakshi Grover, Gerente Sênior de Pesquisa para Serviços de Segurança Cibernética da IDC, observou que a Análise de Composição de Software (SCA) tradicional foi projetada para inspecionar manifestos de dependência, bibliotecas e imagens de contêiner — tornando-a menos eficaz na identificação de lógica de carregamento maliciosa em repositórios de IA.

da IDC Cenário Futuro - Novembro de 2025 O relatório previu que por Em 2027, 60% dos sistemas de IA com agentes deverão ter uma lista de materiais. — ajudando empresas a rastrear artefatos de IA, suas fontes, versões aprovadas e se eles contêm componentes executáveis.

🚨 Resposta e Mitigação

HiddenLayer aconselha qualquer pessoa que tenha clonado Open-OSS/filtro de privacidade e correu iniciar.bat, carregador python.pyou qualquer arquivo do repositório em um host Windows para Trate o sistema como totalmente comprometido. e recomenda reimaginação de sistemas afetados.

• 🍪 As sessões do navegador devem ser consideradas comprometidas. Mesmo que as senhas não sejam armazenadas localmente, os cookies de sessão podem permitir que invasores burlem a autenticação multifator (MFA) em determinadas circunstâncias.
• ✅ Hugging Face confirmou O repositório foi removido.

Fonte da imagem: Pixabay, sob licença.

Quer aprender mais sobre IA e big data com líderes do setor? Confira o Exposição de IA e Big Data que acontecerá em Amsterdã, Califórnia e Londres — parte de TechEx e realizada em conjunto com outros importantes eventos de tecnologia.

O AI News é alimentado por TechForge MediaExplore outros eventos e webinars sobre tecnologia empresarial que estão por vir. aqui.