Oplichters op Hugging Face: Nep-OpenAI-model steelt gegevens

Sophie Jansen · 2026-05-12

Stel je voor: je downloadt een AI-model van Hugging Face, denkend dat het een officiële release van OpenAI is. Maar in werkelijkheid installeer je stiekem malware die al je wachtwoorden, browsergeschiedenis en zelfs cryptovaluta steelt. Dit is precies wat er gebeurde met een kwaadaardige repository die zich voordeed als OpenAI's Privacy Filter. Het leverde infostealer-malware aan Windows-machines en werd maar liefst 244.000 keer gedownload voordat het werd verwijderd. Volgens HiddenLayer, een AI-beveiligingsbedrijf, is het aantal downloads mogelijk opgeblazen door de aanvallers om het model populairder te laten lijken. Dus hoeveel mensen er echt zijn getroffen, is nog onduidelijk. Maar één ding is zeker: dit is een wake-up call voor iedereen die AI-modellen gebruikt in hun werk. ### Hoe de aanval werkte De repository heette 'Open-OSS/privacy-filter' en kopieerde bijna exact de officiële modelkaart van OpenAI. Het enige verschil? De aanvallers voegden een kwaadaardig bestand toe genaamd loader.py. Dit bestand leek op het eerste gezicht een normale AI-model-lader, maar verborg een slinkse infectieketen. - Het script schakelde SSL-verificatie uit. - Het decodeerde een base64-gecodeerde URL die linkte naar jsonkeeper.com. - Het haalde instructies op van deze externe server en gaf die door aan PowerShell op Windows-machines. De aanvallers gebruikten jsonkeeper.com als een command-and-control-kanaal. Hierdoor konden ze de payload wijzigen zonder de repository aan te passen. Slim, maar gevaarlijk. ### Wat er gebeurde na de infectie Zodra de PowerShell-opdracht werd uitgevoerd, downloadde het systeem een extra batchbestand van een domein dat door de aanvallers werd beheerd. De malware zorgde ervoor dat het bleef draaien door een geplande taak aan te maken die leek op een legitieme Microsoft Edge-update. Zo bleef het onopgemerkt. De uiteindelijke payload was een infostealer geschreven in Rust. Het richtte zich op: - Chromium- en Firefox-gebaseerde browsers (denk aan Chrome, Edge, Brave) - Discord-lokale opslag - Cryptovaluta-portemonnees - FileZilla-configuraties - Systeeminformatie van de host Daarnaast probeerde de malware Windows Antimalware Scan Interface en Event Tracing uit te schakelen. Dit maakte het nog moeilijker om te detecteren. ### Waarom dit een groter probleem is Openbare AI-modelregistries zoals Hugging Face worden steeds populairder onder ontwikkelaars en datawetenschappers. Ze klonen modellen direct in bedrijfsomgevingen die toegang hebben tot broncode, cloudreferenties en interne systemen. Dit maakt een gecompromitteerde repository meer dan alleen een overlast; het is een serieus beveiligingsrisico. Eerder waarschuwden onderzoekers al dat kwaadaardige code verborgen kan worden in AI-modelbestanden of gerelateerde setup-scripts. Denk aan Pickle-geserialiseerde modellen die scanners omzeilen. Maar deze aanval laat zien dat de echte problemen vaak zitten in de randzaken: uitvoerbare code, setup-instructies, afhankelijkheidsbestanden en scripts. Niet in de modellen zelf. ### Wat we kunnen leren Sakshi Grover, senior onderzoeksmanager voor cybersecurity bij IDC, zegt dat traditionele software composition analysis (SCA) is ontworpen om afhankelijkheidsmanifests, bibliotheken en containerimages te inspecteren. Maar het is minder effectief in het identificeren van kwaadaardige loader-logica in AI-repositories. In het FutureScape-rapport van november 2025 roept IDC op dat tegen 2027, 60% van de agentische AI-systemen een 'bill of materials' moet hebben. Dit helpt bedrijven bijhouden welke AI-artefacten ze gebruiken, waar ze vandaan komen en welke versies zijn goedgekeurd. Dus wat kun jij doen? Wees voorzichtig met het downloaden van AI-modellen van openbare registries. Controleer altijd de bron en wees alert op verdachte bestanden. En onthoud: als iets te mooi lijkt om waar te zijn, is het dat vaak ook.