Malware op Hugging Face: nep-OpenAI-model steelt gegevens

Sophie Jansen · 2026-05-12

Stel je voor: je downloadt een AI-model van Hugging Face, een platform dat vertrouwd wordt door ontwikkelaars wereldwijd. Maar in plaats van een handige tool, installeer je stiekem malware die je wachtwoorden, crypto-portemonnee en bedrijfsgegevens steelt. Dit is precies wat er gebeurde met een kwaadaardig repository dat zich voordeed als een officiële OpenAI-release. Beveiligingsbedrijf HiddenLayer ontdekte dat het nep-repository 'Open-OSS/privacy-filter' maar liefst 244.000 downloads had voordat het werd verwijderd. En die downloads zijn waarschijnlijk opgeblazen door de aanvallers om het model populairder te laten lijken. Dus hoeveel mensen er echt zijn getroffen? Dat blijft gissen. ### Hoe de aanval in elkaar zat De aanvallers kopieerden bijna exact de originele modelkaart van OpenAI's Privacy Filter. Het enige verschil? Ze voegden een kwaadaardig bestand toe: loader.py. Dit bestand deed alsof het een normale AI-model-lader was, maar bevatte een verborgen infectieketen. Wat gebeurde er precies? - Het script schakelde SSL-verificatie uit - Het decodeerde een base64-URL die linkte naar jsonkeeper.com - Het haalde een extern commando op en gaf dat door aan PowerShell op Windows-machines Door jsonkeeper.com te gebruiken als command-and-control-kanaal, konden de aanvallers de payload wijzigen zonder het repository aan te passen. Slim, maar gevaarlijk.  ### De malware: een stille dief De uiteindelijke payload was een Rust-gebaseerde infostealer. Rust is een programmeertaal die bekend staat om snelheid en veiligheid, maar hier werd het misbruikt voor kwaadaardige doeleinden. De malware richtte zich op: - Chromium- en Firefox-gebaseerde browsers - Discord-lokale opslag - Cryptocurrency-portemonnees - FileZilla-configuraties - Systeeminformatie van de host Bovendien probeerde de malware Windows Antimalware Scan Interface en Event Tracing uit te schakelen. Dat maakt het nog moeilijker om te detecteren. ### Waarom dit een wake-up call is Publieke AI-model-registries zoals Hugging Face worden steeds meer een risico in de software-aanvoerketen. Ontwikkelaars en datawetenschappers klonen modellen direct in bedrijfsomgevingen die toegang hebben tot broncode, cloud-inloggegevens en interne systemen. Een gecompromitteerd model is dan niet zomaar een vervelend incident, maar een serieuze bedreiging. Eerder waarschuwden onderzoekers al dat kwaadaardige code verborgen kan worden in AI-modelbestanden of bijbehorende installatiescripts. Denk aan Pickle-geserialiseerde modelbestanden die scanners omzeilen. Dit nieuwe voorval laat zien dat de aanvallers steeds creatiever worden. ### De bredere context: een groeiend probleem HiddenLayer vond nog zes andere repositories op Hugging Face met vrijwel identieke loader-logica en dezelfde infrastructuur. Het is dus geen incident, maar onderdeel van een grotere campagne. Deze zaak volgt op eerdere waarschuwingen over: - Vergiftigde AI SDK's - Nep-installatieprogramma's voor OpenClaw De rode draad? Aanvallers zien AI-ontwikkelworkflows als een route naar normaal beveiligde omgevingen. AI-repositories bevatten vaak uitvoerbare code, installatie-instructies, afhankelijkheidsbestanden, notebooks en scripts. En het zijn juist die randzaken die problemen veroorzaken, niet de modellen zelf. ### Wat kun je eraan doen? Sakshi Grover, senior research manager bij IDC, zegt dat traditionele SCA (Software Composition Analysis) is ontworpen om afhankelijkheidsmanifesten, bibliotheken en container-images te inspecteren. Het is minder effectief in het identificeren van kwaadaardige loader-logica in AI-repositories. IDC's FutureScape-rapport van november 2025 roept op dat tegen 2027 60% van de agentische AI-systemen een 'bill of materials' (BOM) moeten hebben. Zo kunnen bedrijven bijhouden welke AI-artefacten ze gebruiken, waar ze vandaan komen en welke versies zijn goedgekeurd. ### Conclusie: wees alert Deze aanval laat zien dat we niet blind kunnen vertrouwen op platformen zoals Hugging Face. Controleer altijd wat je downloadt, gebruik beveiligingstools die specifiek zijn ontworpen voor AI-workflows en zorg dat je team weet hoe ze verdachte repositories kunnen herkennen. De volgende keer dat je een AI-model downloadt, vraag jezelf dan af: is dit echt wat het lijkt?