AIモデルやデータセット共有プラットフォームである**Hugging Face**が、最近マルウェア配布に悪用されました。**OpenAI**の正規の「Privacy Filter」を偽装した悪意のあるリポジトリが、プラットフォームのトレンドリストに掲載され、Windowsユーザーを情報窃取型マルウェアに感染させていました。 ### 欺瞞的な戦術 この不正なリポジトリは、プラットフォームが介入する前に一時的に**Hugging Face**のトレンドリストで1位を獲得し、244,000件のダウンロードを集めました。AIおよびMLモデルセキュリティを専門とする**HiddenLayer**社の研究者たちが、5月7日に`Open-OSS/privacy-filter`という名前の悪意のあるリポジトリを発見しました。 「このリポジトリは、**OpenAI**の正規のPrivacy Filterリリースをタイポスクワッティングし、モデルカードをほぼそのままコピーし、Windowsマシン上で情報窃取型マルウェアを取得して実行する`loader.py`ファイルを配布していました」と研究者たちは説明しています。  *悪意のあるリポジトリからの指示 出典: HiddenLayer* ### 攻撃の技術的詳細 `loader.py`というPythonスクリプトには、一見無害なAI関連のコードが含まれていました。しかし、実際にはSSL検証を無効にし、外部リソースを指すbase64エンコードされたURLをデコードし、PowerShellコマンドを含むJSONペイロードを取得していました。 このコマンドは、目に見えないウィンドウで実行され、権限昇格を実行し、最終的なペイロード（`sefirah`）をダウンロードし、それを**Microsoft Defender**の除外リストに追加し、実行するバッチファイル（`start.bat`）をダウンロードします。 ### 情報窃取型マルウェアの機能 最終的なペイロードは、Rustベースの情報窃取型マルウェアで、以下のような幅広い機密データを標的とします。 * ChromiumおよびGeckoベースのブラウザからのブラウザデータ（例：Cookie、保存されたパスワード、暗号化キー、閲覧データ、セッショントークン） * Discordトークン、ローカルデータベース、マスターキー * 仮想通貨ウォレットおよびウォレットブラウザ拡張機能 * SSH、FTP、VPNの認証情報および設定ファイル（FileZillaを含む） * 機密性の高いローカルファイルおよびウォレットシード/キー * システム情報 * マルチモニターのスクリーンショット 窃取されたデータは圧縮され、`recargapopular[.]com`のコマンドアンドコントロール（C2）サーバーに送信されます。 ### 解析回避策 **HiddenLayer**は、マルウェアが仮想マシン、サンドボックス、デバッガー、および検出を回避するために設計された解析ツールをチェックするなど、洗練された解析回避機能を備えていることを強調しました。 被害者の正確な数は不明のままです。研究者たちは、リポジトリに「いいね」を付けた667アカウントの多くが自動生成されたように見え、244,000件というダウンロード数は誇張されている可能性があると指摘しました。 さらなる調査により、同じ悪意のあるローダーインフラストラクチャを使用した他のリポジトリが明らかになり、WinOS 4.0インプラントを配布するnpmタイポスクワッティングキャンペーンとの重複が観察されました。 ### 緩和策 悪意のあるリポジトリからファイルをダウンロードしたユーザーは、以下の措置を強く推奨します。 * 影響を受けたマシンを再イメージ化する。 * 保存されているすべての認証情報をローテーションする。 * 仮想通貨ウォレットとシードフレーズを交換する。 * ブラウザセッションとトークンを無効にする。 このインシデントは、プラットフォームのセキュリティ対策にもかかわらず、**Hugging Face**が悪意のあるモデルのホスティングに継続的に悪用されていることを浮き彫りにしています。AIモデルリポジトリのユーザーにとって、警戒と積極的なセキュリティ対策が不可欠です。 <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img alt="article image" src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg"></a> ## <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Mythosが発見した脆弱性の99%は未修正のままです。</a> AIは4つのゼロデイ脆弱性を1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新たなエクスプロイトの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）では、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、制御が有効であることを証明し、修正ループを閉じるかをご覧ください。 <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">参加登録はこちら</a>