Ein böswilliges Repository, das stundenlang auf der Trendliste von Hugging Face verwaltet wird, indem es als Open-weight-Version von OpenAI's Privacy Filter Modell posiert und als Vektor verwendet wurde, um einen Infostealer an Windows-Benutzer orientiert. Laut der vom HiddenLayer-Forschungsteam veröffentlichten Analyse klonte das Projekt die Beschreibung des legitimen Modells, um Vertrauen zu induzieren, inklusive Anweisungen, um eine Charge unter Windows und ein Ladegerät auf Python, dass, wenn ausgeführt, deaktivieren Sie SSL-Verifikationen und heruntergeladene Aufträge von einem JSON öffentlichen Dienst, um schließlich eine ausführbare über PowerShell.
Der Angriff zeigt zwei besorgniserregende Eigenschaften: einerseits die Fähigkeit, eine scheinbar harmlose Veröffentlichung in einen entfernten Installer zu verwandeln und andererseits die Verwendung von öffentlichen "toten Drop-Lösungen" wie JSON Keeper, um Nutzlasten zu ändern, ohne das ursprüngliche Repository zu berühren. Der Reeder nutzte diese Technik, um eine web-codierte URL zu lösen, die auf Skripte, die in einer Infrastruktur untergebracht wurden, die auch mit früheren Kampagnen, die ValleyRAT verteilt, ein modularer Fernzugriff Trojan mit Betreibern, die für Supply Chain und Phishing-Kampagnen bekannt.
In der beschriebenen Infektionskette erhob der zweite Schritt Privilegien durch eine UAC-Mitteilung, manipulierte Microsoft Defender Ausschlüsse, installierte eine geplante Aufgabe, die endgültige binäre auszuführen und dann lokale Spuren zu löschen. Die endgültige Komponente wurde entwickelt, um Bildschirme und Exfilter-Anmeldeinformationen und Daten von Kryptomoneda-Erweiterungen und -Münzen zu erfassen, sowie zu versuchen, Erkennungen durch Deaktivierung von AMSI- und ETW-Tracks zu vermeiden. Hugging Face deaktiviert den Zugriff auf das Repository nach der Erkennung, aber davor hätte das Projekt die erste Position in der Entwicklung erreicht und angesammelt Hunderttausende von Downloads, Zahlen, die Forscher vermutet wurden künstlich aufgeblasen, um Vertrauen zu erzeugen.
Dieser Vorfall zeigt eine Paradigmenverschiebung: Modell- und Paketplattformen sind nicht mehr nur passive Repositories, sie sind potenzielle anfängliche Access-Vektoren, die Angreifer versuchen, zu nutzen, indem sie Social Engineering, gemeinsame Infrastruktur und Missbrauch von Trust-Mechanismen wie Positionierung auf populären Listen kombinieren. Die Folgen sind sowohl für Produktausrüstungen als auch für Entwickler und Sicherheitsbeamte relevant: Offensichtliche Popularität garantiert keine Integrität und die Ausführung nicht angesehener heruntergeladener Skripte ist eine risikoreiche Praxis.
Für Anwender und Geräte, die Modelle und Artefakte von Drittanbietern bearbeiten, beginnen praktische Empfehlungen mit der Anwendung des Mindestprinzips des Vertrauens: nicht starten Startskripte (start.bat, Leader. py oder andere) ohne Vorsprechen ihres Inhalts, führen Sie Tests in isolierten Umgebungen, die nicht mit Unternehmensnetzwerken verbunden sind, und bevorzugen unterzeichnete oder geprüfte Lasten und Geräte. Wenn Sie ein Modell testen müssen, tun Sie es auf virtuellen Maschinen mit Snapshots, steuern Sie den ausgehenden Verkehr und analysieren Binaries und Skripte mit EDR-Tools und Sandboxen. Für Repositories und Pakete überprüfen Sie die Identität des Autors, ob das Modell dem offiziellen Projekt entspricht (z.B. unter Verwendung von Links und Metadaten in der offiziellen Organisation) und überprüfen Sie die Geschichte der Verpflichtungen und ausführbaren Dateien enthalten.
Modellierungsplattformen müssen manuelle Steuerungen mit automatisierten Scans ergänzen, die Typosquating-Muster erkennen, fast identische Beschreibungen Zufallsfälle, Skripte, die Remote-Downloads ausführen oder Sicherheitskontrollen deaktivieren, und metrische Handhabungssignale (likes, Downloads). Es wird auch empfohlen, Artefakte Signaturen zu implementieren und die Integrität der Kunden zu überprüfen, bevor die lokale Ausführung ermöglicht wird, sowie verwaltete Inferenzumgebungen bereitzustellen, die einen beliebigen Ausführungscode des Nutzers vermeiden. Ähnliche Maßnahmen spiegeln sich in den von Agenturen wie der CISA und den ATT & CK-Frameworks beschriebenen Techniken des Supply-Chain-Schutzes und der Fernerkundung wider. https: / / www.cisa.gov / Lieferkette und https: / / attack.mitre.org / Techniken / T1059 /.
Wenn Sie vermuten, dass Sie die bösartigen Repository-Inhalte heruntergeladen oder ausgeführt haben, trennen Sie die Ausrüstung des Netzwerks, bewahren Sie Beweise (Logs, temporäre Dateien, ausgeführte Skripte) und führen Sie eine forensische oder Remote-Analyse mit einem spezialisierten Lieferanten. Es aktualisiert Signaturen und Scannen von Antivirenprogrammen, überprüft die programmierten Aufgaben und Ausschlüsse von Defender und betrachtet möglicherweise kompromittierte Anmeldeinformationen und Schlüssel. Die Meldung des Vorfalls an die Plattform (Hugging Face in diesem Fall) und das Teilen von Indikatoren mit der Community hilft, den Betrieb und den Schutz anderer Benutzer zu enthalten: Die Widerstandsfähigkeit des Ökosystems hängt von den technischen Kontrollen und der schnellen Kommunikation von Missbrauch ab.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...