Um repositório malicioso no Hugging Face, que chegou à lista de tendências da plataforma, se passou pelo projeto “Privacy Filter”, da OpenAI, para entregar malware voltado ao roubo de informações a usuários do Windows.
O repositório chegou brevemente ao primeiro lugar no Hugging Face e acumulou 244.000 downloads antes de a plataforma agir após receber denúncias e removê-lo.
O Hugging Face permite que desenvolvedores e pesquisadores compartilhem modelos de IA, conjuntos de dados e ferramentas de machine learning.
Os modelos são sistemas de IA pré-treinados hospedados na plataforma, compostos por arquivos de pesos, configuração e código.
Pesquisadores da HiddenLayer, empresa focada em proteger modelos de IA e de machine learning contra ataques, descobriram a campanha em 7 de maio ao notar um repositório malicioso chamado Open-OSS/privacy-filter.
“O repositório imitava, por meio de typosquatting, o lançamento legítimo do Privacy Filter da OpenAI, copiava quase literalmente o cartão do modelo e incluía um arquivo loader.py que baixa e executa malware infostealer em máquinas Windows”, explicam os pesquisadores.
O script em Python loader.py incluía código falso relacionado à IA para parecer inofensivo, mas, em segundo plano, desativava a verificação de SSL, decodificava uma URL em base64 apontando para um recurso externo e então baixava e executava um payload em JSON com um comando do PowerShell.
O comando, executado em uma janela invisível, baixa um arquivo batch chamado start.bat, que realiza elevação de privilégios, baixa o payload final, chamado sefirah, adiciona o arquivo às exclusões do Microsoft Defender e o executa.
O payload final é um infostealer baseado em Rust que mira os seguintes dados sensíveis:
Dados de navegadores baseados em Chromium e Gecko, como cookies, senhas salvas, chaves de criptografia, dados de navegação e tokens de sessão
Tokens do Discord, bancos de dados locais e chaves mestras
Carteiras de criptomoedas e extensões de navegador de carteiras
Credenciais e arquivos de configuração de SSH, FTP e VPN, incluindo FileZilla
Arquivos locais sensíveis e seeds e chaves de carteiras
Informações do sistema
Capturas de tela de vários monitores
Os dados roubados são compactados e enviados para um servidor de comando e controle, o C2, em recargapopular[.]com.
A HiddenLayer destaca as amplas capacidades de antianálise do malware, que incluem verificações de máquinas virtuais, sandboxes, depuradores e ferramentas de análise, tudo com o objetivo de evitar a detecção.
O número exato de vítimas neste incidente ainda não está claro.
Os pesquisadores observam que a grande maioria das 667 contas que curtiram o repositório malicioso no Hugging Face parece ter sido criada automaticamente.
Além disso, a contagem de 244.000 downloads pode ter sido inflada artificialmente.
Ao investigar esses elementos, os pesquisadores descobriram outros repositórios que usavam a mesma infraestrutura maliciosa de loader.
A equipe da HiddenLayer também identificou semelhanças com uma campanha de typosquatting no npm que distribuía o implante WinOS 4.0.
Usuários que baixaram arquivos do repositório malicioso são orientados a reinstalar a máquina, rotacionar todas as credenciais armazenadas, substituir carteiras de criptomoedas e frases-semente e invalidar sessões e tokens do navegador.
Threat actors já abusaram do Hugging Face no passado para hospedar modelos maliciosos, apesar das medidas de segurança da plataforma.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...