Sikkerhetsforskere hos HiddenLayer publiserte funnene 7. mai. Repoet het Open-OSS/privacy-filter og kopierte modellkortet fra OpenAIs ekte Privacy Filter «nesten ordrett», ifølge selskapet. Tallene var sannsynligvis kunstig blåst opp for å gi repoet et legitimt preg, men nedlastingene var reelle: alle som kjørte start.bat på Windows eller python loader.py på Linux/macOS, kjørte angrepskjeden.
Angrepet var fordelt over seks stadier. Python-skriptet inneholdt en base64-kodet streng som droppet en kjørbar Rust-binær: en infostealer bygd for å unngå deteksjon. Den skjuler Windows API-kall mot statisk analyse, sjekker for debuggere og sandbox-miljøer (VirtualBox, VMware, QEMU, Xen), og forsøker å skru av Windows Antimalware Scan Interface (AMSI) og Event Tracing for Windows (ETW).
Målet var legitimasjon: nettleser-passord og session-cookies, Discord-tokens, krypto-lommebøker, Telegram-sessions og mer. HiddenLayer er tydelig: hvis du har kjørt noe fra repoet, behandle maskinen som fullt kompromittert.
«Fordi nyttelasten er en credential-harvesting infostealer, skal du ikke logge inn på noe fra den affiserte verten før du wiper den.» — HiddenLayer
Selv om passordet ikke var lagret i nettleseren, må du anta at session-cookies er stjålet og kan brukes til å omgå MFA. Trusselbildet er ikke nytt. KELA rapporterte forrige måned at minst 347 millioner stjålne credentials sirkulerer fra rundt 3,9 millioner infostealer-infiserte maskiner.
Hva bør du gjøre?
- Sjekk org-feltet på Hugging Face før du kloner. Ekte OpenAI-repoer publiseres under
openai/-org-handle, ikkeOpen-OSS/eller lignende typosquats. - Aldri kjør
loader.pyellerstart.batblindt fra et HF-repo. Bruk transformer-biblioteketsfrom_pretrainedistedenfor å kjøre vilkårlige skript fra fremmede repoer. - Hvis du har klonet og kjørt repoet: isoler maskinen, roter alle credentials (nettleser, password managers, OAuth-tokens, SSH-nøkler, FTP, AWS, GitHub), flytt krypto til ny lommebok generert på en ren maskin, og resett Discord-passord.