技術的な説明
「Open-OSS/privacy-filter」という悪質なHugging Faceモデルリポジトリが、OpenAIの正規のPrivacy Filterリリースになりすましていました。このリポジトリは18時間以内にHugging Faceのトレンド第1位を達成し、約244,000ダウンロードと667いいねを獲得しました(おそらく人為的に水増しされた数字)。リポジトリには、Windowsホスト、Chromium/Firefoxブラウザ、Discord ローカルストレージ、暗号通貨ウォレット、FileZilla 設定、およびホストシステム情報を対象とした Rust ベースの infostealer を取得して実行する悪質な loader.py ファイルが含まれていました。攻撃チェーンは SSL 検証を無効化し、jsonkeeper.com 経由で base64 エンコードされた C2 URL をデコードし、Microsoft Edge 更新を模倣したスケジュール済みタスク経由で永続性を確立しました。
攻撃経路
公開 AI モデルレジストリ経由のサプライチェーン侵害。攻撃者は正規プロジェクトのメタデータをコピーし、悪質なローダーを通常のセットアップスクリプトに偽装し、削除前の Hugging Face の初期信頼期間を悪用します。モデルを直接企業環境にクローンする開発者/データサイエンティストが昇格アクセス権で初期感染ベクトルを提供します。
影響を受けるシステム
Hugging Face からモデルを直接開発、データサイエンス、または本番環境にクローンしている組織。特に高リスク:モデルセットアップ中に任意の Python スクリプトの実行を許可している企業。同一のローダーロジックと共有インフラストラクチャを使用する6つの追加悪質リポジトリが識別され、組織的キャンペーンを示唆しています。
緩和策
直後の対応:(1) 環境内の Hugging Face クローンを疑わしい loader.py または同様のセットアップスクリプトについて監査する;(2) jsonkeeper.com または攻撃者制御ドメイン通信の実行ログを確認する;(3) 影響を受けたシステムを隔離して再構築する;(4) 露出した可能性のあるすべての認証情報をローテーションする(ブラウザパスワード、Discord トークン、暗号ウォレット、クラウド認証情報)。長期的対応:(1) モデルセットアップスクリプト実行前にコードレビューを必須にする;(2) モデル読み込み環境を企業ネットワークから隔離する;(3) モデル展開前にコンテナスキャンとバイナリ分析を使用する;(4) タイポスクワッティングになりすまし行為について Hugging Face を監視する;(5) 従来のソフトウェアと同等の AI モデル用ソフトウェアサプライチェーン制御(SBOM、署名済みアーティファクト、プロヴェナンス検証)を実装する。