Une campagne sophistiquée a exploité la confiance dans les dépôts de modèles de Hugging Face en téléchargeant un morceau de malware qui se présentait comme le projet légitime OpenAI appelé "Fichier de confidentialité". Le dépôt malveillant est devenu sur la liste de tendance et a accumulé, selon les paramètres publics, environ 244.000 téléchargements avant d'être supprimé, un incident qui montre comment les marchés modèles peuvent devenir vecteurs de distribution de masse pour le code malveillant.
L'enquête a été publiée par la société HiddenLayer, qui a détecté la collecte frauduleuse le 7 mai. Selon l'analyse technique, le dépôt a utilisé des techniques de typosquating et a copié la documentation officielle pour passer inaperçue; il comprenait en fait un chargeur. fichier py dont la fonction réelle était de désactiver les contrôles SSL, de résoudre une URL codée sur base64 et d'exécuter une charge utile à distance via PowerShell qui a fini par installer un infostealer écrit dans Rust surnommé "sefirah". La chaîne d'infection comprenait l'escalade de privilèges, la modification des exclusions de Microsoft Defender et l'exfiltration de données sur un serveur de commande et de contrôle.
Le malware signalé avait un profil d'attaque orienté vers la vaste collection de secrets: les identifiants et les cookies des navigateurs Chrome et Gecko, les jetons Discord, les clés et extensions de porte-monnaie cryptomoneda, les fichiers de configuration SSH / FTP / VPN, les graines de porte-monnaie et plusieurs captures d'écran de moniteur. HiddenLayer a également documenté plusieurs techniques anti-analyse pour éviter la détection dans des environnements virtuels et des bacs à sable, ce qui complique le travail des équipes d'intervention en cas d'incident.
Il existe des doutes légitimes quant à l'ampleur réelle des dommages: de nombreux «comme» et téléchargements peuvent avoir été gonflés par des comptes automatisés ou métriques artificiels, mais cela ne réduit pas le risque technique ou la nécessité de contenir la menace. De plus, les chercheurs ont détecté la réutilisation de la même infrastructure de fret entre plusieurs dépôts et une relation possible avec les campagnes de typosquating à npm, suggérant une opération organisée ciblant les chaînes d'approvisionnement logicielles.
Les implications pratiques sont claires: les modèles et les plates-formes d'échange de données ne sont pas à l'abri de l'abus; leur nature ouverte en fait des cibles attrayantes pour les acteurs malveillants qui cherchent la distribution et l'anonymat. Cela nécessite un renforcement de l'hygiène tant au niveau de la plate-forme qu'au niveau des utilisateurs : validation des auteurs, numérisation automatique des codes, signature des artefacts et renforcement des contrôles de confiance pour les éléments exécutés localement.
Si vous avez téléchargé des fichiers du dépôt touché ou si vous pensez pouvoir exécuter du code à partir de sources non vérifiées, la recommandation technique la plus sécurisée est forte: Réimaginez l'équipement, cassez toutes les lettres de créances et remplacez les pièces et les phrases de semences de cryptomonedas. En outre, invalidez les sessions de navigateur et jetons OAuth, remplacez les clés SSH / FTP, examinez les exclusions sur votre antivirus et considérez que le nettoyage des outils n'élimine pas toujours les portes arrière sophistiquées.
Pour les utilisateurs et les équipements qui n'ont pas été infectés mais qui travaillent avec des modèles externes, des mesures préventives devraient être appliquées : exécuter des modèles et des scripts dans des environnements isolés ou des machines virtuelles, revoir le code source et les scripts de charge avant leur exécution, préférer les modèles publiés par des organisations vérifiées et utiliser des signatures connues ou des hachages pour vérifier l'intégrité. D'un point de vue opérationnel, il surveille les connexions sortantes suspectes et bloque les domaines associés au C2 le cas échéant.
Les plateformes ont également des tâches exceptionnelles : améliorer la détection automatique des modèles malveillants dans les fichiers de dépôt, renforcer les processus de modération du contenu, fournir des métadonnées vérifiables sur les auteurs et fournir des rapports rapides aux intervenants. Hugging Face et d'autres fournisseurs doivent équilibrer ouverture et sécurité pour réduire la surface d'attaque sans étrangler la recherche et la collaboration.
Si vous voulez lire le rapport technique qui a détaillé cette campagne, HiddenLayer a publié son analyse ici: HiddenLayer - Malware trouvé dans le dépôt Hugging Face. Pour comprendre les politiques et les contrôles de la plateforme, consultez la page de sécurité Hugging Face : Face de cambriolage - Sécurité. Ces lectures aident à contextualiser pourquoi la vérification et l'exécution des sources dans des environnements contrôlés ne sont pas des options, mais des pratiques essentielles.
Bref, cet incident rappelle que la souplesse des écosystèmes de l'IA comporte des risques particuliers pour la sécurité. Pour se protéger, il faut travailler sur deux fronts : exiger des améliorations structurelles aux plates-formes et adopter des défenses pratiques dans l'environnement développeur et utilisateur final.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...