Infostealer auf KI-Plattform Hugging Face tarnt sich als OpenAI-Repository

Auf Hugging Face war Anfang Mai ein Repository aufgetaucht, das sich als OpenAI-Modell getarnt und auf Windows-Systemen einen Infostealer installiert hat. Die Angreifer nutzten Typosquatting und verbreiteten das Repository als Open-OSS/privacy-filter in Anlehnung an das OpenAI-Modell openai/privacy-filter.

Während der Attacke landete das Repository innerhalb von 18 Stunden auf der #1 der Trending Repositories, mit über 240.000 Downloads und 667 Likes. Letztere sind weitgehend von automatisierten Accounts ausgegangen, um das Repository zu pushen.

Hugging Face hat das Repository inzwischen entfernt. Wer es davor auf einem Windows-Rechner geklont und entweder start.bat oder loader.py ausgeführt hat, sollte sein System als infiziert und in Browsern und ihren Extensions gespeicherte Credentials als potenziell abgegriffen betrachten.

Welche Dateien betroffen sein können, steht in der Analyse des KI-Sicherheitsunternehmens HiddenLayer.

Auf den ersten Blick fast identisch zum OpenAI-Repository

Offenbar haben die Angreifer die Model Card, die das Modell beschreibt, fast wörtlich von OpenAIs privacy-Filter übernommen, inklusive eines Links zu einem PDF von OpenAI.

Die Anleitung im Readme war ebenfalls weitgehend ähnlich, forderte allerdings zusätzlich dazu auf, das Repository lokal zu klonen und unter Windows start.bat sowie unter macOS oder Linux den Python-Loader loader.py auszuführen.

Vorgetäuschte Modellaktivität

Der Loader führt als Ablenkung zunächst scheinbar legitimen Code aus, mit einer Klasse DummyModel, vorgetäuschtem Modelltrainings-Output und einem synthetischen Datensatz.

Die Installation des Schadcodes startet mit der zum Abschluss aufgerufenen Funktion _verify_checksum_integrity(). Sie startet einen PowerShell-Befehl, der nur auf Windows-Systemen funktioniert und versteckt im Hintergrund läuft, über

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command 

Mit dem Creation Flag CREATE_NO_WINDOW läuft der Prozess ohne Konsolenfenster.

Zahlreiche Verschleierungstaktiken

Das Skript lädt eine update.bat-Datei herunter, die den eigentlichen Schadcodebefall vorbereitet, und führt sie aus. Dazu prüft die Datei zunächst auf Admin-Rechte, die sie im Zweifel anfordert, was zumindest einen UAC-Prompt auslöst. Anschließend lädt sie den Schadcode herunter und versucht ihn als Ausnahme für Microsoft Defender einzutragen.

Der eigentliche Infostealer ist ein in Rust geschriebenes Programm, das auf zahlreiche Verschleierungstechniken setzt, um nicht als Schadcode erkannt zu werden. Unter anderem verschleiert das Programm den Einsatz von Windows-APIs und prüft, ob es von einem Anti-Malware-Programm in einer virtuellen Maschine ausgeführt wird.

Sammeln und hochladen

Schließlich sammelt der Infostealer Informationen aus Browsern, Discord, Wallets (unter anderem über Browser-Extensions), diversen Konfigurationsdateien und Geodaten. Außerdem erstellt er Screenshots mithilfe des Windows Graphics Device Interface (gdi32.dll).

Die gesammelten Daten packt der Infostealer in eine JSON-Datei, die er auf einen Remote-Server hochlädt.

Automatisierte Likes für bessere Sichtbarkeit

Die Likes wurden wohl weitgehend automatisiert erstellt, um das Repository zu pushen. Laut der Analyse von HiddenLayer folgen 504 dem Muster „firstname-lastname###“ und weitere 153 dem Muster „adjectivenoun####“.

Ein Teil der 244.000 Downloads dürfte ebenfalls nicht von Opfern des Infostealer-Angriffs, sondern von den Angreifern selbst automatisiert erfolgt sein, um das Repository im Hugging-Face-Ranking nach oben zu treiben.

(rme)