Maliziöses Hugging-Face-Repository imitiert OpenAI Privacy Filter

Foto des Autors

CyberSecureFox Editorial Team

Das bösartige Repository Open-OSS/privacy-filter auf der Plattform Hugging Face, das sich als das legitime Modell OpenAI Privacy Filter tarnt, wurde zur Auslieferung eines Informationsstealers auf Basis von Rust eingesetzt, der auf Windows-Nutzer abzielt. Nach Angaben des Forschungsteams von HiddenLayer kopierten die Angreifer die Beschreibung des legitimen Modells nahezu wortgleich und setzten Typosquatting ein, um Entwickler zu täuschen. Das Repository wurde von der Plattform bereits blockiert, doch der Vorfall betrifft einen breiten Kreis von Nutzern, die mit offenen Modellen des maschinellen Lernens arbeiten, und verdeutlicht die wachsende Bedrohung von Angriffen auf die Lieferkette im KI-Ökosystem.

Angriffsmechanismus: vom Klonen bis zur Exfiltration

Das legitime Modell Privacy Filter wurde von OpenAI vorgestellt im April 2026 als Werkzeug zur Erkennung und Bearbeitung personenbezogener Daten (PII) in unstrukturiertem Text. Die Angreifer nutzten seine Popularität aus, indem sie ein Doppelgänger-Repository unter dem Account Open-OSS anlegten.

Die Infektionskette begann mit der Anweisung, das Repository zu klonen und das Batch-Skript start.bat (für Windows) oder das Python-Skript loader.py (für Linux/macOS) auszuführen. Laut den Forschern führte der Python-Loader die folgenden Aktionen aus:

  • Deaktivierte die Überprüfung von SSL-Zertifikaten
  • Dekodierte eine im Base64-Format vorliegende URL, die auf dem Dienst JSON Keeper abgelegt war
  • Extrahierte einen Befehl und übergab ihn zur Ausführung an PowerShell

Der Einsatz von JSON Keeper – eines öffentlichen Dienstes zur Speicherung von JSON-Daten – als zwischengeschalteter Resolver ermöglichte es den Angreifern, die Nutzlast zu ändern, ohne das Repository selbst anpassen zu müssen. Dies erschwert statische Analysen und Blockierungsmaßnahmen erheblich.

Mehrstufige Auslieferung der Nutzlast

Der PowerShell-Befehl lud ein Batch-Skript von dem Remote-Server api.eth-fastscan[.]org herunter und startete es über cmd.exe. Dieses Skript der zweiten Stufe bereitete die Umgebung vor:

  • Forderte über eine UAC-Eingabeaufforderung eine Rechteerhöhung an
  • Konfigurierte Ausnahmen in Microsoft Defender Antivirus
  • Lud die Binärdatei der nächsten Stufe von derselben Domain herunter
  • Erstellte eine geplante Aufgabe zum Start eines PowerShell-Skripts, das die heruntergeladene Datei ausführte

Wie die Forscher von HiddenLayer anmerken, wurde die geplante Aufgabe als einmaliger Startmechanismus im SYSTEM-Kontext genutzt – die Aufgabe wurde vor einem Neustart wieder gelöscht und stellte keine Persistenz her.

Endgültige Nutzlast: Infostealer

Die finale Komponente – ein Informationsstealer – zielte auf ein breites Spektrum von Daten ab:

  • Screenshots
  • Discord-Daten
  • Kryptowallets und Browser-Erweiterungen
  • System-Metadaten
  • FileZilla-Konfigurationen und Seed-Phrasen von Wallets
  • Browserdaten von Chromium- und Gecko-basierten Browsern

Der Stealer verfügte über Mechanismen zur Umgehung von Analysen: Erkennung von Debuggern und Sandboxes, Prüfung auf eine virtuelle Maschine sowie Versuche, AMSI (Windows Antimalware Scan Interface) und ETW (Event Tracing for Windows) zu deaktivieren. Die entwendeten Daten wurden im JSON-Format an die Domain recargapopular[.]com exfiltriert.

Umfang der Kampagne und zugehörige Repositories

Zusätzlich zum Haupt-Repository entdeckten die Forscher von HiddenLayer sechs weitere Repositories auf Hugging Face mit einem ähnlichen Python-Loader, alle unter dem Account anthfu:

  • anthfu/Bonsai-8B-gguf
  • anthfu/Qwen3.6-35B-A3B-APEX-GGUF
  • anthfu/DeepSeek-V4-Pro
  • anthfu/Qwopus-GLM-18B-Merged-GGUF
  • anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
  • anthfu/supergemma4-26b-uncensored-gguf-v2

Die Namen dieser Repositories ahmen beliebte offene Modelle nach, was auf einen systematischen Ansatz für Typosquatting im Hugging-Face-Ökosystem hinweist.

Mögliche Verbindung zu ValleyRAT-Kampagnen

Die Forscher stellten außerdem fest, dass die Domain api.eth-fastscan[.]org zur Verteilung einer weiteren ausführbaren Datei – o0q2l47f.exe – verwendet wurde, die sich mit dem Command-and-Control-Server welovechinatown[.]info verband. Laut einer Untersuchung der Firma Panther tauchte derselbe C2-Server zuvor in einer Kampagne mit dem bösartigen npm-Paket trevlo auf, das ValleyRAT (auch bekannt als Winos 4.0) über einen mehrstufigen PowerShell-Dropper auslieferte.

Es ist zu betonen, dass der Zusammenhang zwischen der Kampagne auf Hugging Face und der ValleyRAT-Aktivität auf Übereinstimmungen in der Infrastruktur beruht und eine analytische Einschätzung der Forscher darstellt, keine bestätigte Attribution. HiddenLayer geht davon aus, dass die gemeinsame Infrastruktur auf eine breiter angelegte Operation hindeuten könnte, die auf Lieferketten in offenen Ökosystemen abzielt.

Bewertung der Auswirkungen

Am stärksten gefährdet sind Entwickler und Forscher, die mit offenen Modellen des maschinellen Lernens arbeiten und diese von Hugging Face herunterladen, ohne die Quelle sorgfältig zu verifizieren. Eine Kompromittierung kann zum Abfluss von Zugangsdaten, Krypto-Assets, Serverkonfigurationen und Browserdaten – sowohl persönlicher als auch unternehmensbezogener – führen.

Der Vorfall zeigt die Verwundbarkeit des Vertrauensmodells von Plattformen für die Verbreitung von ML-Modellen: Die Popularität eines Repositories (Anzahl der Downloads und Likes) kann künstlich in die Höhe getrieben werden und so fälschlich den Eindruck von Legitimität erwecken.

Empfehlungen

  • Quelle des Modells verifizieren: Stellen Sie vor dem Download sicher, dass das Repository zu einer offiziellen Organisation gehört (zum Beispiel openai/privacy-filter) und nicht zu einem Account mit ähnlich klingendem Namen
  • Repository-Inhalt analysieren: Prüfen Sie auf verdächtige Dateien (loader.py, start.bat) und Skripte, die Downloads von externen Servern durchführen oder die SSL-Prüfung deaktivieren
  • Indikatoren einer Kompromittierung blockieren auf Ebene der Netzwerkinfrastruktur: Domains api.eth-fastscan[.]org, recargapopular[.]com, welovechinatown[.]info; SHA-256-Hash: c1b59cc25bdc1fe3f3ce8eda06d002dda7cb02dea8c29877b68d04cd089363c7
  • Versuche zur Deaktivierung von AMSI und ETW überwachen auf Endpunkten – dies ist ein charakteristischer Indikator dieser Infektionskette
  • Isolierte Umgebungen verwenden (Container, virtuelle Maschinen) zum Testen aller heruntergeladenen Modelle, bevor sie in der Produktionsinfrastruktur ausgerollt werden
  • Retrospektive Analyse durchführen auf Verbindungen zu den genannten Domains, falls in der Organisation in den letzten Wochen Modelle von Hugging Face heruntergeladen wurden

Organisationen, die Modelle von Hugging Face einsetzen, sollten umgehend ihre Download-Historie auf die genannten bösartigen Repositories überprüfen und Endpunkte auf die aufgeführten Indikatoren einer Kompromittierung scannen. Die Einführung einer Richtlinie, die eine obligatorische Verifizierung der Quelle und das Ausführen von Modellen ausschließlich in isolierten Umgebungen vorschreibt, ist die minimale erforderliche Maßnahme zum Schutz vor Angriffen auf die Lieferkette im Ökosystem des maschinellen Lernens.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen