Tu codes avec l’IA ?
Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Un dépôt malveillant trompe Hugging Face
Un dépôt malveillant hébergé sur Hugging Face, se présentant comme une publication d'OpenAI, a réussi à distribuer un logiciel malveillant de type infostealer à environ 244 000 utilisateurs avant d'être supprimé. Selon HiddenLayer, une société de sécurité IA, le nombre de téléchargements pourrait avoir été artificiellement gonflé par les attaquants pour donner l'impression d'une popularité accrue, rendant l'ampleur réelle de l'attaque incertaine.
Le dépôt, nommé 'Open-OSS/privacy-filter', imitait le projet Privacy Filter d'OpenAI. HiddenLayer a révélé que la carte du modèle original avait été copiée presque à l'identique, mais les acteurs malveillants avaient ajouté un fichier loader.py qui récupérait et exécutait un logiciel de vol de données sur les hôtes Windows.
Manipulation des tendances et risques pour la chaîne d'approvisionnement
En moins de 18 heures, le dépôt a atteint le sommet de la liste des « tendances » sur Hugging Face avec 667 likes. Ce chiffre pourrait également avoir été manipulé par les attaquants pour simuler une popularité factice.
Les registres de modèles IA publics, comme Hugging Face, pourraient devenir des risques dans la chaîne d'approvisionnement logicielle. Les développeurs et data scientists clonent souvent des modèles directement dans des environnements d'entreprise, exposant potentiellement des systèmes internes à des menaces si un dépôt est compromis.
Détails techniques de l'infection
Le fichier README du faux modèle ressemblait étroitement à celui du projet légitime, mais il s'en écartait en instruisant les utilisateurs à exécuter start.bat sur Windows ou python loader.py sur Linux et macOS. Ces instructions étaient centrales à la chaîne d'infection décrite par HiddenLayer.
HiddenLayer a averti que du code malveillant pouvait être dissimulé dans des fichiers de modèles IA ou des scripts d'installation associés sur Hugging Face et d'autres registres publics. Des cas antérieurs impliquaient des fichiers de modèles Pickle-sérialisés qui contournaient les scanners de la plateforme.
Chargeur malveillant et persistance
Le fichier loader.py commençait par un code leurre ressemblant à un chargeur de modèle IA normal, avant de passer à une chaîne d'infection dissimulée. Un script désactivait la vérification SSL, décodait une URL encodée en base64 liée à jsonkeeper.com, récupérait une instruction de charge utile à distance et transmettait des commandes à PowerShell sur les machines Windows. L'utilisation de jsonkeeper.com permettait à l'attaquant de faire tourner la charge utile sans changer le contenu du dépôt.
La commande PowerShell téléchargeait ensuite un fichier batch supplémentaire depuis un domaine contrôlé par l'attaquant, et le logiciel malveillant établissait une persistance en créant une tâche planifiée conçue pour ressembler à un processus de mise à jour légitime de Microsoft Edge.
La charge utile finale était un infostealer basé sur Rust. Selon HiddenLayer, il ciblait les navigateurs dérivés de Chromium et Firefox, le stockage local de Discord, les portefeuilles de cryptomonnaie, les configurations de FileZilla, et les informations sur le système hôte. Le logiciel malveillant tentait également de désactiver l'Interface de scan antimalware de Windows et le Event Tracing.
HiddenLayer a également trouvé six autres dépôts Hugging Face contenant une logique de chargeur pratiquement identique, partageant l'infrastructure avec l'attaque citée.
Réponse et recommandations
HiddenLayer a conseillé à quiconque ayant cloné Open-OSS/privacy-filter et exécuté start.bat, python loader.py ou tout fichier du dépôt sur un hôte Windows de considérer le système comme compromis, et recommande de réinstaller les systèmes. Les sessions de navigateur doivent être considérées comme compromises même si les mots de passe ne sont pas stockés localement, car les cookies de session permettent aux attaquants de contourner l'authentification multifactorielle dans certaines circonstances.
Hugging Face a confirmé que le dépôt a été supprimé.