**Hugging Face**, eine Plattform zum Teilen von KI-Modellen und Datensätzen, wurde kürzlich zur Verbreitung von Malware missbraucht. Ein bösartiges Repository, das **OpenAI**s legitimen „Privacy Filter“ nachahmte, erreichte die Trending-Liste der Plattform und infizierte Windows-Benutzer mit Malware zum Stehlen von Informationen. ### Täuschende Taktiken Das betrügerische Repository belegte kurzzeitig den ersten Platz auf **Hugging Face** und sammelte 244.000 Downloads, bevor die Plattform eingriff. Forscher von **HiddenLayer**, einem auf KI- und ML-Modellsicherheit spezialisierten Unternehmen, entdeckten das bösartige Repository mit dem Namen `Open-OSS/privacy-filter` am 7. Mai. „Das Repository hatte **OpenAI**s legitime Privacy Filter-Veröffentlichung durch Tippfehler nachgeahmt, seine Model Card fast wortwörtlich kopiert und eine `loader.py`-Datei ausgeliefert, die Infostealer-Malware auf Windows-Rechnern abruft und ausführt“, erklärten die Forscher.  *Anweisungen aus dem bösartigen Repository Quelle: HiddenLayer* ### Technische Details des Angriffs Das Python-Skript `loader.py` enthielt scheinbar harmlose KI-bezogene Code. Es deaktivierte jedoch heimlich die SSL-Verifizierung, dekodierte eine Base64-URL, die auf eine externe Ressource zeigte, und rief eine JSON-Payload ab, die einen PowerShell-Befehl enthielt. Der Befehl, der in einem unsichtbaren Fenster ausgeführt wurde, lud eine Batch-Datei (`start.bat`) herunter, die eine Privilege Escalation durchführt, die endgültige Payload (`sefirah`) herunterlädt, sie zu den Ausschlüssen von **Microsoft Defender** hinzufügt und sie ausführt. ### Fähigkeiten des Infostealers Die endgültige Payload ist ein auf Rust basierender Infostealer, der eine breite Palette sensibler Daten anvisiert, darunter: * Browserdaten von Chromium- und Gecko-basierten Browsern (z. B. Cookies, gespeicherte Passwörter, Verschlüsselungsschlüssel, Browserdaten, Sitzungstoken) * Discord-Token, lokale Datenbanken und Master-Schlüssel * Kryptowährungs-Wallets und Wallet-Browsererweiterungen * SSH-, FTP- und VPN-Anmeldeinformationen und Konfigurationsdateien, einschließlich FileZilla * Sensible lokale Dateien und Wallet-Seeds/Schlüssel * Systeminformationen * Screenshots von mehreren Monitoren Die gestohlenen Daten werden komprimiert und an einen Command-and-Control (C2)-Server unter `recargapopular[.]com` exfiltriert. ### Anti-Analyse-Maßnahmen **HiddenLayer** betonte die ausgeklügelten Anti-Analyse-Funktionen der Malware, die Überprüfungen auf virtuelle Maschinen, Sandboxes, Debugger und Analysetools umfassen, die darauf ausgelegt sind, die Erkennung zu umgehen. Die genaue Anzahl der Opfer bleibt unklar. Forscher stellten fest, dass viele der 667 Konten, die das Repository mit „Gefällt mir“ markierten, automatisch generiert zu sein schienen und die Download-Zahl von 244.000 möglicherweise aufgebläht war. Weitere Untersuchungen ergaben, dass andere Repositories dieselbe bösartige Loader-Infrastruktur nutzten, wobei Überschneidungen in einer npm-Typosquatting-Kampagne beobachtet wurden, die das WinOS 4.0-Implantat verteilte. ### Abhilfemaßnahmen Benutzern, die Dateien aus dem bösartigen Repository heruntergeladen haben, wird dringend empfohlen: * Die betroffene Maschine neu zu installieren. * Alle gespeicherten Anmeldeinformationen zu rotieren. * Kryptowährungs-Wallets und Seed-Phrasen zu ersetzen. * Browser-Sitzungen und Token zu invalidieren. Dieser Vorfall unterstreicht den anhaltenden Missbrauch von **Hugging Face** zum Hosten bösartiger Modelle, trotz der Sicherheitsmaßnahmen der Plattform. Wachsamkeit und proaktive Sicherheitsmaßnahmen sind für Benutzer von KI-Modell-Repositories unerlässlich. <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img alt="article image" src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg"></a> ## <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</a> KI verknüpfte vier zero-days zu einem einzigen Exploit, der sowohl Renderer- als auch OS-Sandboxes umging. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung herausfindet, was ausnutzbar ist, beweist, dass Kontrollen greifen, und den Remediation-Loop schließt. <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Sichern Sie sich Ihren Platz</a>