Зловмисний репозиторій на Hugging Face, який видавав себе за офіційний випуск OpenAI, став об’актом масштабної кібератаки. Цей шахрайський проєкт поширював шкідливе програмне забезпечення infostealer (збирач облікових даних) на комп'ютери з операційною системою Windows. Згідно з дослідженням компанії HiddenLayer, що спеціалізується на безпеці ШІ, репозиторій зафіксував близько 244,000 завантажень до моменту його видалення. Хоча кількість завантажень могла бути штучно завищена для підвищення популярності моделі, це свідчить про серйозну вразливість у сфері програмного забезпечення ШІ.

Атакувальний репозиторій під назвою ‘Open-OSS/privacy-filter’ імітував офіційний випуск Privacy Filter від OpenAI. Зловмисники скопіювали картку моделі майже дослівно, але додали шкідливий файл loader.py, який призначений для отримання та запуску програмного забезпечення, що краде облікові дані, на хостах Windows. Ця ситуація підкреслює що росте (зростає) ризик публічних реєстрів ШІ-моделей у ланцюжку постачання програмного забезпечення.

Як відбувалася інфекція: механізм атаки

Зловмисний лоа дер, замаскований під звичайний код налаштування моделі, розпочинав свою роботу із прикриттям. Скрипт швидко переходив до прихованого ланцюжка зараження.

Процес інфікування включав такі ключові етапи:
* Деактивація безпеки: Скрипт відключав перевірку SSL, що дозволяло обходити стандартні протоколи захисту.
* Отримання інструкцій: Був декодований URL-адрес у форматі base64, який вказував на домен jsonkeeper.com. Звідти отримувалися дистанційні інструкції для завантаження шкідливого коду.
* Виконання команд: Команди передавалися через PowerShell на машинах Windows.

HiddenLayer зазначила, що використання каналу керування (C2) jsonkeeper.com дозволяло зловмиснику змінювати вміст природа без необхідності оновлення самого репозиторію. Після цього PowerShell завантажував додатковий пакетний файл із домену, контрольованого атакувальний ботом.

Створення стійкості та фінальний корисне навантаження

Щоб забезпечити тривале функціонування, шкідливе програмне забезпечення створювало заплановане завдання (scheduled task), яке було замасковане під звичайний процес оновлення Microsoft Edge. Фінальним приладом виявився інформелі на базі Rust.

Цей шкідливий код був спрямований на крадіжку даних із різних джерел:
* Браузери, похідні від Chromium та Firefox.
* Локальне сховище Discord.
* Гаманці для криптовалют.
* Конфігураційні файли FileZilla.
* Інформація про хост-систему.

Крім того, інформеле намагався вимкнути інтерфейс сканування антивірусу Windows та функцію відстеження подій (Event Tracing).

Ширший контекст загрози в ланцюжку постачання

Цей випадок є частиною ширшої тенденції, коли зловмисники використовують робочі процеси розробки ШІ як шлях до проникнення у зазвичай захищені корпоративні середовища. Репозиторії ШІ часто містять виконуваний код, файли залежностей, скрипти та інструкції для налаштування, і саме ці периферійні елементи створюють проблеми, а не самі моделі.

HiddenLayer також виявила 6 інших репозиторіїв на Hugging Face, які містили практично ідентичну логіку лідера та використовували ту ж інфраструктуру, що й у згаданій атаці. Це слідує за попередженнями щодо отруєних AI SDK та фальшивих установників OpenClaw.

Виклики для кібербезпеки ШІ

Експерти в галузі безпеки підкреслюють обмеженість традиційних методів контролю. Sakshi Grover, старший менеджер досліджень відділу кібербезпеки IDC, зазначила, що стандартний SCA (Software Composition Analysis) розроблено для інспектування маніфестів залежностей, бібліотек та контейнерних образів. Він менш ефективний у виявленні зловмисної логіки лідера в репозиторіях ШІ.

Для розв'язання цієї проблеми IDC посилається на свій звіт FutureScape від листопада 2025 року. У цьому звіті було зроблено прогноз, що до 2027 року 60% систем агентного ШІ повинні мати перелік матеріалів (bill of materials). Це допоможе компаніям відстежувати використані артефакти ШІ, їхнє походження, затверджені версії та наявність виконуваних компонентів.