Malware op Hugging Face vermomd als OpenAI-tool

·
Luister naar dit artikel~4 min
Malware op Hugging Face vermomd als OpenAI-tool

Een kwaadaardige Hugging Face-repository die zich voordeed als OpenAI-tool installeerde infostealer-malware op Windows-machines. Ontdek hoe de aanval werkte en hoe je je kunt beschermen.

Stel je voor: je downloadt een AI-model van Hugging Face, denkend dat het een officiële release van OpenAI is. Maar in plaats van een handige tool, installeer je stiekem malware die al je wachtwoorden steelt. Dit is precies wat er gebeurde met een kwaadaardige repository die zich voordeed als OpenAI's Privacy Filter. Volgens beveiligingsonderzoek van HiddenLayer werd de malware ongeveer 244.000 keer gedownload voordat hij werd verwijderd. Het werkelijke aantal getroffen gebruikers is onduidelijk, omdat de aanvallers de downloads mogelijk kunstmatig hebben opgehoogd om de repository populairder te laten lijken. ### Hoe de aanval in zijn werk ging De repository, genaamd 'Open-OSS/privacy-filter', kopieerde bijna exact de officiële modelkaart van OpenAI. De aanvallers voegden een kwaadaardig bestand toe, loader.py, dat eruitzag als een normaal AI-model maar in werkelijkheid een infostealer activeerde. Dit bestand haalde via een gecodeerde URL instructies op van jsonkeeper.com en voerde die uit via PowerShell op Windows-machines. Door deze command-and-control-structuur konden de aanvallers de payload wijzigen zonder de repository aan te passen. Het README-bestand leek sprekend op dat van het echte project, maar bevatte een cruciale afwijking: het instrueerde gebruikers om start.bat te draaien op Windows of python loader.py op Linux en macOS. Dit waren precies de stappen die de infectieketen in gang zetten. ![Visuele weergave van Malware op Hugging Face vermomd als OpenAI-tool](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-9bbed81a-cef6-4002-b46b-76d14f25099b-inline-1-1778652085129.webp) ### Waarom dit zo gevaarlijk is AI-modelregistries zoals Hugging Face worden steeds vaker een zwakke schakel in de softwareketen. Ontwikkelaars en data scientists klonen modellen rechtstreeks in bedrijfsomgevingen die toegang hebben tot broncode, cloudcredentials en interne systemen. Een gecompromitteerde repository is dan niet zomaar een overlast, maar een serieus beveiligingsrisico. Eerder al waarschuwden onderzoekers dat kwaadaardige code verborgen kan worden in AI-modelbestanden of bijbehorende scripts. Denk aan Pickle-geserialiseerde modellen die scanners omzeilen. Dit nieuwe incident bewijst dat de dreiging alleen maar groter wordt. ![Visuele weergave van Malware op Hugging Face vermomd als OpenAI-tool](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-9bbed81a-cef6-4002-b46b-76d14f25099b-inline-2-1778652090316.webp) ### De techniek achter de malware De loader.py begon met onschuldige code die leek op een normale AI-model-lader, maar schakelde snel over naar een verborgen infectieketen. Het script schakelde SSL-verificatie uit, decodeerde een base64-gecodeerde URL en haalde instructies op van jsonkeeper.com. Vervolgens gaf het commando's door aan PowerShell, die een batchbestand downloadde van een domein dat door de aanvallers werd gecontroleerd. De malware zorgde voor persistentie door een geplande taak aan te maken die leek op een legitiem Microsoft Edge-updateproces. De uiteindelijke payload was een Rust-gebaseerde infostealer. Deze richtte zich op: - Chromium- en Firefox-gebaseerde browsers - Discord-lokale opslag - Cryptocurrency-wallets - FileZilla-configuraties - Systeeminformatie van de host Daarnaast probeerde de malware Windows Antimalware Scan Interface en Event Tracing uit te schakelen. ### Grotere campagnes HiddenLayer ontdekte nog zes andere Hugging Face-repositories met vrijwel identieke loader-logica en dezelfde infrastructuur. Dit wijst op een bredere campagne. Eerder waren er al waarschuwingen over vergiftigde AI-SDK's en neppe OpenClaw-installatieprogramma's. De rode draad is dat aanvallers AI-ontwikkelworkflows gebruiken als toegangspoort tot normaal gesproken beveiligde omgevingen. AI-repositories bevatten vaak uitvoerbare code, installatie-instructies, afhankelijkheidsbestanden, notebooks en scripts. Juist deze randzaken veroorzaken problemen, niet de modellen zelf. ### Wat kun je doen? Sakshi Grover van IDC benadrukt dat traditionele softwarecompositionanalysis (SCA) niet effectief is tegen kwaadaardige loader-logica in AI-repositories. Ze verwijst naar het FutureScape-rapport van november 2025, waarin wordt gepleit dat tegen 2027 60% van de agentische AI-systemen een 'bill of materials' moet hebben. Dit helpt bedrijven bijhouden welke AI-artefacten ze gebruiken, waar ze vandaan komen en welke versies zijn goedgekeurd. **Tip:** Controleer altijd de bron van AI-modellen en wees wantrouwig bij repositories die vragen om scripts uit te voeren. Veiligheid begint met bewustzijn.

📌 Aanbevolen Bron