Um repositório malicioso no Hugging Face, que chegou à lista de tendências da plataforma, se passou pelo projeto “Privacy Filter”, da OpenAI, para entregar malware voltado ao roubo de informações a usuários do Windows.
O repositório chegou brevemente ao primeiro lugar no Hugging Face e acumulou 244.000 downloads antes de a plataforma agir após receber denúncias e removê-lo.
O Hugging Face permite que desenvolvedores e pesquisadores compartilhem modelos de IA, conjuntos de dados e ferramentas de machine learning.
Os modelos são sistemas de IA pré-treinados hospedados na plataforma, compostos por arquivos de pesos, configuração e código.
Pesquisadores da HiddenLayer, empresa focada em proteger modelos de IA e de machine learning contra ataques, descobriram a campanha em 7 de maio ao notar um repositório malicioso chamado Open-OSS/privacy-filter.
“O repositório imitava, por meio de typosquatting, o lançamento legítimo do Privacy Filter da OpenAI, copiava quase literalmente o cartão do modelo e incluía um arquivo loader.py que baixa e executa malware infostealer em máquinas Windows”, explicam os pesquisadores.
O script em Python loader.py incluía código falso relacionado à IA para parecer inofensivo, mas, em segundo plano, desativava a verificação de SSL, decodificava uma URL em base64 apontando para um recurso externo e então baixava e executava um payload em JSON com um comando do PowerShell.
O comando, executado em uma janela invisível, baixa um arquivo batch chamado start.bat, que realiza elevação de privilégios, baixa o payload final, chamado sefirah, adiciona o arquivo às exclusões do Microsoft Defender e o executa.
O payload final é um infostealer baseado em Rust que mira os seguintes dados sensíveis:
Dados de navegadores baseados em Chromium e Gecko, como cookies, senhas salvas, chaves de criptografia, dados de navegação e tokens de sessão
Tokens do Discord, bancos de dados locais e chaves mestras
Carteiras de criptomoedas e extensões de navegador de carteiras
Credenciais e arquivos de configuração de SSH, FTP e VPN, incluindo FileZilla
Arquivos locais sensíveis e seeds e chaves de carteiras
Informações do sistema
Capturas de tela de vários monitores
Os dados roubados são compactados e enviados para um servidor de comando e controle, o C2, em recargapopular[.]com.
A HiddenLayer destaca as amplas capacidades de antianálise do malware, que incluem verificações de máquinas virtuais, sandboxes, depuradores e ferramentas de análise, tudo com o objetivo de evitar a detecção.
O número exato de vítimas neste incidente ainda não está claro.
Os pesquisadores observam que a grande maioria das 667 contas que curtiram o repositório malicioso no Hugging Face parece ter sido criada automaticamente.
Além disso, a contagem de 244.000 downloads pode ter sido inflada artificialmente.
Ao investigar esses elementos, os pesquisadores descobriram outros repositórios que usavam a mesma infraestrutura maliciosa de loader.
A equipe da HiddenLayer também identificou semelhanças com uma campanha de typosquatting no npm que distribuía o implante WinOS 4.0.
Usuários que baixaram arquivos do repositório malicioso são orientados a reinstalar a máquina, rotacionar todas as credenciais armazenadas, substituir carteiras de criptomoedas e frases-semente e invalidar sessões e tokens do navegador.
Threat actors já abusaram do Hugging Face no passado para hospedar modelos maliciosos, apesar das medidas de segurança da plataforma.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...