Malware vermomd als AI-model op Hugging Face ontdekt

·
Luister naar dit artikel~4 min
Malware vermomd als AI-model op Hugging Face ontdekt

Een kwaadaardig Hugging Face-repository dat zich voordeed als een OpenAI-release heeft infostealer-malware verspreid naar Windows-computers. Het nep-model haalde bijna 244.000 downloads voordat het werd verwijderd.

Stel je voor: je downloadt wat lijkt op een legitiem AI-model van OpenAI, maar in werkelijkheid installeer je stiekem malware die al je wachtwoorden steelt. Dat is precies wat er gebeurde met een kwaadaardige repository op Hugging Face, zo blijkt uit onderzoek van beveiligingsbedrijf HiddenLayer. Het nep-model, genaamd 'Open-OSS/privacy-filter', deed zich voor als OpenAI's Privacy Filter. De originele modelkaart was bijna exact gekopieerd. De aanvallers voegden echter een kwaadaardig loader.py-bestand toe dat credential-stelende malware op Windows-computers uitvoerde. ### Een populair maar verdacht model Het repository bereikte binnen 18 uur de top van de 'trending'-lijst op Hugging Face, met 667 likes. Maar wees voorzichtig: onderzoekers vermoeden dat de aanvallers deze cijfers kunstmatig hebben opgehoogd. Het aantal downloads van ongeveer 244.000 lijkt ook geflatteerd. Deze truc is gevaarlijker dan je denkt. Ontwikkelaars en data scientists klonen namelijk regelmatig modellen rechtstreeks in bedrijfsomgevingen. En die omgevingen hebben toegang tot broncode, cloud-credentials en interne systemen. Een gecompromitteerd model wordt dan meer dan een vervelende verstoring. ![Visuele weergave van Malware vermomd als AI-model op Hugging Face ontdekt](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-0056d8e4-4854-4272-bc7a-b9d3a633d3ed-inline-1-1778839269590.webp) ### Hoe de infectie werkt De README van het nepmodel leek sterk op die van het echte project, maar bevatte een cruciaal verschil. Het instrueerde gebruikers om start.bat op Windows of python loader.py op Linux en macOS uit te voeren. En dat was precies de start van de infectieketen. Loader.py begon met neppe code die op een normale AI-model-lader leek, maar snel overging naar een verborgen infectieketen. Het script schakelde SSL-verificatie uit, decodeerde een base64-gecodeerde URL die linkte naar jsonkeeper.com, haalde een extern commando op en gaf dat door aan PowerShell op Windows. Het gebruik van jsonkeeper.com als command-and-control-kanaal was slim: de aanvaller kon het payload wisselen zonder de repository aan te passen. De PowerShell-opdracht downloadde vervolgens een batchbestand van een domein van de aanvaller. De malware vestigde persistentie door een geplande taak aan te maken die leek op een legitieme Microsoft Edge-update. ![Visuele weergave van Malware vermomd als AI-model op Hugging Face ontdekt](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-0056d8e4-4854-4272-bc7a-b9d3a633d3ed-inline-2-1778839274603.webp) ### Wat de infostealer steelt De uiteindelijke payload was een in Rust geschreven infostealer. Volgens HiddenLayer richtte deze zich op: - Chromium- en Firefox-gebaseerde browsers - Discord-lokale opslag - Cryptocurrency-wallets - FileZilla-configuraties - Systeeminformatie van de host De malware probeerde ook Windows Antimalware Scan Interface en Event Tracing uit te schakelen. ### Eerdere waarschuwingen en bredere campagnes Dit is geen geïsoleerd incident. HiddenLayer vond zes andere Hugging Face-repositories met vrijwel identieke loader-logica die dezelfde infrastructuur gebruikten. Eerder waren er al waarschuwingen over vergiftigde AI-modellen op Hugging Face, waaronder nep-AI-SDK's en valse OpenClaw-installatieprogramma's. De rode draad? Aanvallers gebruiken AI-ontwikkelingsworkflows als toegangspoort tot normaal beveiligde omgevingen. AI-repositories bevatten vaak uitvoerbare code, installatie-instructies, afhankelijkheidsbestanden, notebooks en scripts. Het zijn deze randzaken die problemen veroorzaken, niet de modellen zelf. ### Hoe bescherm je jezelf? Sakshi Grover, senior research manager voor cybersecurity bij IDC, waarschuwt dat traditionele SCA (Software Composition Analysis) is ontworpen om afhankelijkheidsmanifesten, bibliotheken en containerimages te inspecteren. Het is minder effectief bij het identificeren van kwaadaardige loader-logica in AI-repositories. IDC's FutureScape-rapport van november 2025 stelt dat tegen 2027 60% van de agentische AI-systemen een 'bill of materials' zou moeten hebben. Dit helpt bedrijven bijhouden welke AI-artefacten ze gebruiken, waar ze vandaan komen en welke versies zijn goedgekeurd. Dus, wat kun je doen? Controleer altijd de bron van AI-modellen voordat je ze downloadt. Gebruik beveiligingsscanners die specifiek zijn ontworpen voor AI-repositories. En wees extra voorzichtig met repositories die plotseling trending worden.

📌 Aanbevolen Bron