事件概述
2026年5月7日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目,成功进入平台趋势榜榜首位置。该仓库在被清除前累计获得约 244,000 次下载,成为开源 AI 平台历史上最严重的大规模恶意软件分发事件之一。
此次攻击的核心 payload 为基于 Rust 语言开发的 Sefirah 信息窃取木马,具备完整的反分析能力和广泛的数据窃取范围。受害者的浏览器凭据、加密货币钱包、Discord 令牌、SSH/VPN 凭证等敏感数据均面临泄露风险。攻击活动与 npm 平台 typosquatting 攻击存在基础设施重叠,表明威胁行为体正在跨平台构建规模化攻击能力。
攻击技术分析
初始访问:Typosquatting 与信任滥用
攻击者采用经典的 typosquatting 技术,在 Hugging Face 平台注册与合法项目名称高度相似的仓库名 Open-OSS/privacy-filter,冒充 OpenAI 官方发布的 Privacy Filter 项目。攻击者几乎逐字复制了原始项目的模型卡片(Model Card)内容,使用虚假但看似可信的项目文档建立欺骗性。
攻击者进一步通过自动化脚本生成大量虚假账户,对恶意仓库进行 "star" 操作,人为提升其在趋势榜单的排名。在社交工程手段的推动下,该仓库短暂登上 趋势榜榜首,借助平台公信力进一步扩大传播范围。研究人员分析发现,约 667 个点赞账户中的绝大多数为自动生成的虚假账户,用于制造社区认可的假象。
感染链:多阶段 Payload 投递
恶意仓库采用四阶段感染链完成初始访问到最终 payload 部署的全过程。
第一阶段:loader.py
仓库中的 loader.py 文件被设计为看起来像正常的 AI 相关代码,但实际执行以下恶意行为:
- 禁用 SSL 证书验证,绕过安全连接保护
- 从远程服务器获取 base64 编码的 URL
- 解码后访问外部资源获取 JSON 格式的 PowerShell 命令
第二阶段:PowerShell 命令执行
解码后的 PowerShell 命令在隐藏窗口中执行,下载批处理文件 start.bat 并执行权限提升操作。
第三阶段:start.bat
该批处理文件完成以下关键步骤:
- 静默添加最终 payload 到 Microsoft Defender 排除列表
- 下载最终有效载荷 sefirah
- 以提升的权限执行窃密木马
第四阶段:Sefirah 窃密木马
最终 payload 为基于 Rust 语言编译的 Sefirah 信息窃取器,具备以下数据窃取能力:
目标类别 | 具体数据类型 |
|---|---|
浏览器数据 | Chromium/Gecko 内核浏览器的 Cookie、保存的密码、加密密钥、浏览历史、会话令牌 |
即时通讯 | Discord 令牌、本地数据库、主密钥 |
加密货币 | 加密货币钱包及浏览器扩展 |
远程访问 | SSH、FTP、VPN 凭证及配置文件(含 FileZilla) |
敏感文件 | 本地敏感文件及钱包种子/密钥 |
系统信息 | 完整系统信息、屏幕截图 |
反分析机制
Sefirah 恶意软件集成多层反分析能力,用于规避安全研究人员和自动化分析系统的检测:
- 虚拟机检测:识别 VMware、VirtualBox、QEMU 等虚拟化环境
- 沙箱检测:识别主流沙箱平台的行为特征
- 调试器检测:检测调试器附加行为和断点设置
- 分析工具检测:识别 Wireshark、Procmon 等分析工具的运行状态
该恶意软件仅在确认为真实受害者环境后才会完整执行恶意行为,这种选择性执行策略显著增加了安全分析的难度。
数据外泄
窃取的数据经过压缩后通过 HTTP 协议外泄至 C2 服务器 recargapopular[.]com。
C2 基础设施分析
根据关联分析,C2 域名 recargapopular.com 的基础信息如下:
属性 | 详情 |
|---|---|
注册时间 | 2026-02-16 |
到期时间 | 2027-02-16 |
注册商 | TUCOWS.COM, CO. |
名称服务器 | deborah.ns.cloudflare.com / west.ns.cloudflare.com |
当前解析 IP | 172.67.165.218 / 104.21.66.235 |
安全状态 | 未见公开恶意标记 |
该域名于攻击事件前约三个月注册,使用 Cloudflare 名称服务器隐藏真实基础设施。注册时间与攻击活动时序的高度相关性表明,这是一次有预谋的基础设施部署。C2 服务器通过 Cloudflare CDN 节点中转,显著增加了溯源难度。
威胁归因
HiddenLayer 研究人员发现此次攻击与 npm typosquatting 活动存在直接关联。攻击者使用相同的 loader 基础设施分发 WinOS 4.0 植入程序,表明同一威胁行为体正在多个开源生态系统同步运营。
关键归因线索:
- 基础设施重叠:loader.py 脚本与 npm 恶意包的代码结构高度相似
- TTP 一致性:两起攻击采用相同的 C2 通信模式和数据外泄格式
- 时间关联:活动间隔符合同一操作团队的运营节奏
此次攻击活动体现了现代网络犯罪的组织化特征:攻击者具备跨平台运营能力,能够根据不同平台特点调整投递策略,同时维护底层基础设施的统一性。
MITRE ATT&CK 映射
战术阶段 | 技术编号 | 技术名称 |
|---|---|---|
初始访问 | T1661 | 钓鱼攻击(通过社会工程实现) |
初始访问 | T1526 | 供应链攻陷 |
持久化 | T1547.001 | 引导登录完成时自启动(添加 Defender 排除列表) |
防御规避 | T1562.001 | 禁用安全工具(禁用 SSL 验证) |
防御规避 | T1562.001 | 添加安全工具排除项 |
防御规避 | T1497.001 | 虚拟机/沙箱检测 |
凭证访问 | T1555.003 | 浏览器凭证窃取 |
凭证访问 | T1552.001 | 凭据文件未保护存储 |
凭证访问 | T1552.004 | 私钥窃取 |
发现 | T1592.004 | 收集受害者主机信息 |
数据外泄 | T1041 | 通过 C2 信道外泄数据 |
防御建议
对于已下载该恶意仓库内容的用户,奇安信威胁情报中心建议采取以下响应措施:
- 系统重置:立即重新映像受感染主机,确保恶意 payload 及持久化机制被完全清除
- 凭证轮换:轮换所有存储在受影响系统中的密码、API 密钥、SSH 密钥
- 加密资产保护:更换所有加密货币钱包,废弃相关种子短语和私钥
- 会话失效:使所有浏览器会话令牌失效,重置双因素认证凭证
- 日志审计:审查近期的登录活动,识别是否存在异常访问行为
对于 AI 开发社区,我们建议:
- 在安装任何第三方模型前,验证仓库的官方来源和发布者身份
- 启用仓库的签名验证功能,验证代码完整性
- 避免依赖下载量作为信任依据,该指标可被人为操纵
- 在隔离环境(如沙箱虚拟机)中测试新获取的模型和代码
结论
此次事件是开源 AI 生态系统面临供应链攻击风险的典型案例。Hugging Face 作为全球领先的 AI 模型托管平台,每日承载大量模型分发任务,其信任机制被攻击者利用进行大规模恶意软件传播。Sefirah 窃密木马的技术成熟度和反分析能力表明,攻击者已具备开发高质量攻击工具的专业能力。
跨平台攻击活动的发现进一步揭示了当前威胁格局的演变趋势:攻击者不再局限于单一平台,而是在多个开源生态系统中建立持续性存在,利用各平台的安全盲区实现攻击规模的扩大化。
参考来源
- https://www.bleepingcomputer.com/news/security/fake-openai-repository-on-hugging-face-pushes-infostealer-malware/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
