Ein gefälschtes Sichtschutzfilter-Modell erreichte vor seiner Entfernung die Spitze der Trends

Ein gefälschtes OpenAI-Repository auf Hugging Face erreichte rund 244.000 Downloads. Es war auf der Plattform im Trend, bevor es entfernt wurde. Das gefälschte Repository enthielt einen Rust-Stealer, der Browserdaten, Krypto-Wallets und Entwicklergeheimnisse auf Windows-Rechnern ausspionierte.

Sicherheitsforscher von HiddenLayer entdeckten das schädliche Repository unter dem Namespace „Open-OSS/privacy-filter“. Es handelte sich um eine Typosquat-Variante des echten Privacy-Filter-Modells von OpenAI, das letzten Monat veröffentlicht wurde.

Die gefälschte Auflistung kopierte die Modellkarte von OpenAI und fügte Anweisungen hinzu, die die Benutzer aufforderten, das Repository zu klonen und das Skript auszuführen.

Die Angreifer verwendeten einen gefälschten OpenAI-Datenschutzfilter

Der echte Datenschutzfilter von OpenAI ist ein offenes Gewichtungsmodell, das personenbezogene Daten in Texten erkennt unddentmacht.

Die offizielle Version wurde unter der Apache-2.0-Lizenz sowohl über Hugging Face als auch über GitHub veröffentlicht. Entwickler erwarteten, im eigentlichen Repository ausführbaren Code und Setup-Skripte vorzufinden.

Doch die Angreifer nutzten die Erwartungen der Entwickler aus. Sie veröffentlichten ein täuschend ähnliches Repository unter einem anderen Namensraum mit vertrautem Branding und nahezudentDokumentation.

Eine Python-Datei namens loader, die wie normaler Modellladecode aussah, enthielt eine gefälschte DummyModel-Klasse und eine gefälschte Trainingsausgabe.

Das Skript enthielt eine Funktion, die die SSL-Verifizierung deaktivierte, eine geheime URL dekodierte und einen Befehl von JSON Keeper empfing. JSON Keeper ist ein öffentlicher JSON-Paste-Dienst. Er ermöglicht es Angreifern, Nutzdaten auszutauschen, ohne mit dem Repository interagieren zu müssen.

Der Befehl startete einen versteckten Windows PowerShell-Prozess. Ein Batch-Skript, das eine Blockchain-Analyse-API imitiert, versuchte, seine Berechtigungen zu erweitern.

Es wurde versucht, Microsoft Defender-Ausnahmen für das Payload-Verzeichnis hinzuzufügen. Anschließend wurde die fertige Binärdatei über einen einmalig geplanten Auftrag freigegeben, der wie ein Microsoft Edge-Updater aussah.

Anschließend wurde eine 1,07 MB große Rust-Datei ausgeliefert. DiesetracBrowserdaten, Discord-Token, Krypto-Wallet-Dateiensowie SSH-, FTP- und VPN-dent. Die gestohlenen Daten wurden an einen Command-and-Control-Server (C2-Server) gesendet.

Die Malware umging auch virtuelle Maschinen, Sandboxes und Debugger, falls Forscher eine automatisierte Analyse einrichten sollten.

Die 244.000 Downloads bedeuten nicht, dass Infektionen bestätigt wurden. Es ist unbekannt, wie viele Nutzer die schädlichen Dateien ausgeführt haben.

Weder OpenAI noch Hugging Face haben eine öffentliche Stellungnahme abgegeben. Die vorliegenden Beweise deuten lediglich auf Plattform-Imitation hin. Es gibt keine Hinweise auf eine Gefährdung von OpenAI oder Hugging Face.

Der Start des Privacy Filters von OpenAI generierte Suchverkehr von Entwicklern.

Schritte für alle, die das Repository geklont haben

Wer das Repository geklont und die schädlichen Skripte ausgeführt hat, sollte davon ausgehen, dass sein Windows-Rechner kompromittiert ist. Die Neuinstallation des Systems ist die einzige wirksame Lösung, um die schädlichen Dateien zu entfernen.

Die Anmeldung bei einem beliebigen Konto auf dem betroffenen Rechner birgt das Risiko weiterer Sicherheitslücken. Sicherheitsexperten empfehlen, alle in Browsern, Passwortmanagern oderdentauf dem Gerät gespeichertendentregelmäßig zu ändern. Dies umfasst gespeicherte Passwörter, Session-Cookies, OAuth-Token, SSH-Schlüssel und Cloud-Anbieter-Token.

Die Kryptowährungsgelder sollten in eine neue Wallet auf einem funktionierenden Gerät übertragen werden.

Im MärzdentSicherheitsforscher ein bösartiges npm-Paket, das sich als Installationsprogramm für das KI-Tool OpenClaw tarnte. Es zielte auf Systempasswörter und Krypto-Wallets ab. Dieses Paket mit dem Namen GhostLoader installierte sich als versteckter Telemetriedienst und suchte nachdentvon KI-Agenten.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.