Un dépôt malveillant géré pendant des heures pour être sur la liste de tendances de Hugging Face en se présentant comme la version open-weight du modèle de filtre de confidentialité d'OpenAI, et a été utilisé comme vecteur pour distribuer un infostealer orienté vers les utilisateurs de Windows. Selon l'analyse publiée par l'équipe de recherche HiddenLayer, le projet a cloné la description du modèle légitime pour induire la confiance, y compris des instructions pour exécuter un lot sur Windows et un chargeur sur Python qui, lorsqu'il est exécuté, désactive les vérifications SSL et télécharge les commandes d'un service public JSON pour enfin lancer un exécutable via PowerShell.
L'attaque montre deux caractéristiques inquiétantes : d'une part, la capacité de transformer une publication apparemment inoffensive en un installateur à distance et, d'autre part, l'utilisation de "solutions de gouttes mortes" publiques telles que JSON Keeper pour changer les charges utiles sans toucher au dépôt original. L'expéditeur a utilisé cette technique pour résoudre une URL codée en ligne qui indiquait des scripts logés dans une infrastructure qui a également été liée à des campagnes antérieures qui ont distribué ValleyRAT, un cheval de Troie d'accès modulaire associé à des opérateurs connus pour la chaîne d'approvisionnement et des campagnes d'hameçonnage.
Dans la chaîne d'infection décrite, la deuxième étape a soulevé des privilèges à travers un avis UAC, manipulé les exclusions Microsoft Defender, installé une tâche programmée pour exécuter le binaire final et ensuite effacé les traces locales. Le composant final a été conçu pour capturer des écrans et des identifiants d'exfiltre et des données provenant d'extensions et de pièces de cryptomoneda, ainsi que pour essayer d'échapper aux détections en désactivant les traces AMSI et ETW. Hugging Face désactive l'accès au dépôt après la détection, mais avant que le projet ait atteint la première position dans la tendance et accumulé des centaines de milliers de téléchargements, les chiffres que les chercheurs soupçonnent ont été artificiellement gonflés pour générer de la confiance.
Cet incident met en évidence un changement de paradigme : les plates-formes de modèle et de paquet ne sont plus seulement des dépôts passifs, ce sont des vecteurs d'accès initiaux potentiels que les attaquants tentent d'exploiter en combinant l'ingénierie sociale, l'infrastructure partagée et les abus de mécanismes de confiance tels que le positionnement sur des listes populaires. Les conséquences sont pertinentes tant pour l'équipement produit que pour les développeurs et les responsables de la sécurité : la popularité apparente ne garantit pas l'intégrité et l'exécution de scripts téléchargés non examinés est une pratique à haut risque.
Pour les utilisateurs et les équipements manipulant des modèles et des artefacts tiers, des recommandations pratiques commencent par appliquer le principe de confiance minimum : ne lancez pas de scripts de démarrage (start.bat, leader. py ou autres) sans auditionner leur contenu, exécuter des essais dans des environnements isolés non connectés aux réseaux d'entreprise, et préférer des chargements et des appareils signés ou vérifiés. Si vous avez besoin de tester un modèle, faites-le sur des machines virtuelles avec des instantanés, contrôlez le trafic sortant et analysez les binaires et les scripts avec des outils EDR et des bacs à sable. Pour les dépôts et les paquets, valider l'identité de l'auteur, vérifier que le modèle correspond au projet officiel (par exemple, en utilisant des liens et des métadonnées dans l'organisation officielle) et examiner l'historique des engagements et des fichiers exécutables inclus.
Les plates-formes de modélisation doivent compléter les commandes manuelles par des scans automatisés qui détectent les patrons de typosquat, des coïncidences de descriptions presque identiques, des scripts qui exécutent des téléchargements à distance ou qui désactivent les contrôles de sécurité, et des signaux de manipulation métrique (comme, téléchargements). Il est également recommandé de mettre en œuvre des signatures artefacts et de vérifier l'intégrité du client avant d'autoriser l'exécution locale, ainsi que de fournir des environnements d'inférence gérés qui évitent le code d'exécution arbitraire par l'utilisateur. Des mesures similaires sont prises dans les guides de protection de la chaîne d'approvisionnement et les techniques d'exécution à distance décrites par des organismes tels que la CISA et les cadres ATT & CK devraient être consultés pour renforcer les politiques et détecter: https: / / www.cisa.gov / chaîne d'approvisionnement et https: / / attack.mitre.org / techniques / T1059 /.
Si vous soupçonnez que vous avez téléchargé ou exécuté le contenu du dépôt malveillant, déconnectez l'équipement du réseau, conservez des preuves (logs, fichiers temporaires, scripts exécutés) et effectuez une analyse médico-légale ou à distance avec un fournisseur spécialisé. Il met à jour les signatures et la numérisation des antivirus, passe en revue les tâches programmées et les exclusions de Defender, et envisage de modifier les identifiants et les clés potentiellement compromises. Signaler l'incident à la plateforme (Hugging Face dans ce cas) et partager des indicateurs avec la communauté aide à contenir l'opération et à protéger les autres utilisateurs: la résilience de l'écosystème dépend à la fois des contrôles techniques et de la communication rapide des abus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...