Brief IA : Hugging Face dupé : un faux modèle OpenAI infecte 244 000

Hugging Face dupé : un faux modèle OpenAI infecte 244 000

Brief IA
Tom Levy·3 min·4 vues

Un dépôt malveillant sur Hugging Face a distribué un logiciel malveillant de type infostealer, enregistrant environ 244 000 téléchargements avant sa suppression. Les attaquants ont potentiellement gonflé artificiellement ce chiffre pour créer une fausse impression de popularité, soulignant les risques de sécurité sur les plateformes de partage de modèles d'IA.

En bref
1Un dépôt malveillant sur Hugging Face, imitant OpenAI, a infecté 244 000 utilisateurs avec un logiciel infostealer.
2Le faux modèle a atteint 667 likes en 18 heures, un chiffre possiblement gonflé par les attaquants pour simuler la popularité.
3Le malware ciblait les navigateurs, Discord et les portefeuilles crypto, et désactivait des sécurités Windows.
💡Pourquoi c'est importantCette attaque souligne les risques croissants des dépôts publics pour la sécurité des chaînes logicielles.
Le brief IA que lisent les pros

Tu codes avec l’IA ?

Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Un dépôt malveillant trompe Hugging Face

Un dépôt malveillant hébergé sur Hugging Face, se présentant comme une publication d'OpenAI, a réussi à distribuer un logiciel malveillant de type infostealer à environ 244 000 utilisateurs avant d'être supprimé. Selon HiddenLayer, une société de sécurité IA, le nombre de téléchargements pourrait avoir été artificiellement gonflé par les attaquants pour donner l'impression d'une popularité accrue, rendant l'ampleur réelle de l'attaque incertaine.

Le dépôt, nommé 'Open-OSS/privacy-filter', imitait le projet Privacy Filter d'OpenAI. HiddenLayer a révélé que la carte du modèle original avait été copiée presque à l'identique, mais les acteurs malveillants avaient ajouté un fichier loader.py qui récupérait et exécutait un logiciel de vol de données sur les hôtes Windows.

Manipulation des tendances et risques pour la chaîne d'approvisionnement

En moins de 18 heures, le dépôt a atteint le sommet de la liste des « tendances » sur Hugging Face avec 667 likes. Ce chiffre pourrait également avoir été manipulé par les attaquants pour simuler une popularité factice.

Les registres de modèles IA publics, comme Hugging Face, pourraient devenir des risques dans la chaîne d'approvisionnement logicielle. Les développeurs et data scientists clonent souvent des modèles directement dans des environnements d'entreprise, exposant potentiellement des systèmes internes à des menaces si un dépôt est compromis.

Détails techniques de l'infection

Le fichier README du faux modèle ressemblait étroitement à celui du projet légitime, mais il s'en écartait en instruisant les utilisateurs à exécuter start.bat sur Windows ou python loader.py sur Linux et macOS. Ces instructions étaient centrales à la chaîne d'infection décrite par HiddenLayer.

HiddenLayer a averti que du code malveillant pouvait être dissimulé dans des fichiers de modèles IA ou des scripts d'installation associés sur Hugging Face et d'autres registres publics. Des cas antérieurs impliquaient des fichiers de modèles Pickle-sérialisés qui contournaient les scanners de la plateforme.

Chargeur malveillant et persistance

Le fichier loader.py commençait par un code leurre ressemblant à un chargeur de modèle IA normal, avant de passer à une chaîne d'infection dissimulée. Un script désactivait la vérification SSL, décodait une URL encodée en base64 liée à jsonkeeper.com, récupérait une instruction de charge utile à distance et transmettait des commandes à PowerShell sur les machines Windows. L'utilisation de jsonkeeper.com permettait à l'attaquant de faire tourner la charge utile sans changer le contenu du dépôt.

La commande PowerShell téléchargeait ensuite un fichier batch supplémentaire depuis un domaine contrôlé par l'attaquant, et le logiciel malveillant établissait une persistance en créant une tâche planifiée conçue pour ressembler à un processus de mise à jour légitime de Microsoft Edge.

La charge utile finale était un infostealer basé sur Rust. Selon HiddenLayer, il ciblait les navigateurs dérivés de Chromium et Firefox, le stockage local de Discord, les portefeuilles de cryptomonnaie, les configurations de FileZilla, et les informations sur le système hôte. Le logiciel malveillant tentait également de désactiver l'Interface de scan antimalware de Windows et le Event Tracing.

HiddenLayer a également trouvé six autres dépôts Hugging Face contenant une logique de chargeur pratiquement identique, partageant l'infrastructure avec l'attaque citée.

Réponse et recommandations

HiddenLayer a conseillé à quiconque ayant cloné Open-OSS/privacy-filter et exécuté start.bat, python loader.py ou tout fichier du dépôt sur un hôte Windows de considérer le système comme compromis, et recommande de réinstaller les systèmes. Les sessions de navigateur doivent être considérées comme compromises même si les mots de passe ne sont pas stockés localement, car les cookies de session permettent aux attaquants de contourner l'authentification multifactorielle dans certaines circonstances.

Hugging Face a confirmé que le dépôt a été supprimé.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires