Een kwaadaardige repository op het platform Hugging Face, die zich voordeed als het OpenAI-project “Privacy Filter”, verspreidde infostealer malware onder Windows-gebruikers. De repository bereikte kort de nummer 1-positie in de trending lijst van Hugging Face en werd meer dan 244.000 keer gedownload voordat het platform na meldingen ingreep en de repository verwijderde.

Hugging Face biedt ontwikkelaars en onderzoekers de mogelijkheid om AI-modellen, datasets en machine learning-tools te delen. De kwaadaardige repository, ontdekt door onderzoekers van HiddenLayer op 7 mei, gebruikte een naam die sterk leek op die van het legitieme OpenAI Privacy Filter-project en kopieerde vrijwel letterlijk de modelbeschrijving. Tegelijkertijd bevatte het een Python-script (loader.py) dat malware laadde en uitvoerde op Windows-systemen. De onderzoekers leggen uit dat het script SSL-verificatie uitschakelde, een base64-gecodeerde URL decodeerde en een JSON-payload ophaalde met een PowerShell-commando. Dit commando werd onzichtbaar uitgevoerd, downloadde een batchbestand dat privilege escalation uitvoerde, de uiteindelijke malware (sefirah) binnenhaalde, deze toevoegde aan de uitsluitingen van Microsoft Defender en activeerde.

De finale payload is een infostealer geschreven in Rust, die onder andere browsergegevens (zoals cookies, opgeslagen wachtwoorden en sessietokens) van Chromium- en Gecko-browsers steelt, evenals Discord-tokens, lokale databases, cryptocurrency wallets en extensies, SSH-, FTP- en VPN-credentials inclusief configuratiebestanden, gevoelige lokale bestanden en wallet seeds, systeeminformatie en screenshots van meerdere beeldschermen. De gestolen data wordt gecomprimeerd en naar een command-and-control-server gestuurd op recargapopular[.]com.

De malware beschikt over uitgebreide anti-analyse functies die detectie door virtuele machines, sandboxes, debuggers en analysetools moeten voorkomen. Het precieze aantal slachtoffers is onbekend, mede omdat de meeste van de 667 accounts die de repository op Hugging Face ‘leuk’ vonden waarschijnlijk automatisch gegenereerd zijn. Ook is het mogelijk dat het aantal downloads kunstmatig is opgeblazen. HiddenLayer ontdekte bovendien andere repositories die dezelfde kwaadaardige loader gebruikten en zag verbanden met een npm typosquatting-campagne die de WinOS 4.0 implant verspreidt.

Gebruikers die bestanden van de malafide repository hebben gedownload, wordt geadviseerd hun systemen opnieuw te installeren, alle opgeslagen credentials te wijzigen, cryptocurrency wallets en seed phrases te vervangen en browser sessies en tokens ongeldig te maken. Ondanks beveiligingsmaatregelen wordt Hugging Face vaker misbruikt om kwaadaardige AI-modellen te hosten.