Вредоносный репозиторий на Hugging Face скачали 244 000 раз — кража паролей и криптоключей

По данным компании HiddenLayer, в реестре моделей Hugging Face был обнаружен и удален вредоносный репозиторий, маскировавшийся под официальное обновление от OpenAI. Злоумышленники создали проект с названием Open-OSS/privacy-filter, который имитировал легитимный инструмент фильтрации приватности. До момента блокировки ресурс набрал около 244 000 загрузок, хотя исследователи предполагают, что часть этих цифр могла быть сгенерирована искусственно для создания видимости популярности. Инцидент демонстрирует, как публичные реестры ИИ-моделей превращаются в уязвимое звено программных цепочек поставок.

Механизм заражения и скрытая угроза

Вредоносный код был внедрен не в саму модель искусственного интеллекта, а в вспомогательные скрипты установки. Файл loader.py содержал обманный код, имитирующий стандартную загрузку нейросети, но быстро переходил к скрытой цепочке заражения. Скрипт отключал проверку безопасности SSL, декодировал ссылку на внешний сервер jsonkeeper.com и передавал команды на выполнение через PowerShell на компьютерах под управлением Windows. Такая схема позволяла злоумышленникам менять вредоносную нагрузку удаленно, не изменяя содержимое самого репозитория.

После получения команд система загружала дополнительный пакетный файл с домена, контролируемого атакующими. Для закрепления в системе создавалась запланированная задача, стилизованная под процесс обновления браузера Microsoft Edge. Конечной целью атаки стал инфостилер на языке Rust, предназначенный для кражи учетных данных. Программа нацеливалась на браузеры на базе Chromium и Firefox, локальное хранилище мессенджера Discord⋆, конфигурации криптокошельков и файлы программы FileZilla. Кроме того, вредоносное ПО пыталось отключить системные механизмы защиты, такие как интерфейс сканирования на наличие вредоносных программ и трассировку событий.

Риски для корпоративной инфраструктуры

Инцидент подтверждает опасения экспертов относительно того, что разработчики и дата-сайентисты, копирующие модели напрямую в корпоративные среды, подвергают риску доступ к исходному коду, облачным учетным данным и внутренним системам. Репозитории ИИ часто содержат исполняемые скрипты, файлы зависимостей и инструкции по настройке, которые становятся вектором атаки. Традиционные инструменты анализа состава программного обеспечения (SCA) эффективны для проверки библиотек и контейнеров, но плохо справляются с выявлением вредоносной логики в специфических скриптах загрузки моделей.

Исследователи из IDC отмечают, что к 2027 году 60% агентных систем ИИ должны будут иметь «список материалов» (Bill of Materials). Такой документ позволит компаниям отслеживать используемые артефакты ИИ, их происхождение, утвержденные версии и наличие исполняемых компонентов. Это станет необходимым шагом для минимизации рисков в условиях, когда атакующие рассматривают рабочие процессы разработки ИИ как путь проникновения в защищенные периметры.

Масштаб кампании и меры реагирования

Анализ показал, что атака не была единичной. Специалисты HiddenLayer выявили еще шесть репозиториев на платформе Hugging Face, содержащих идентичную логику загрузки и использующих общую инфраструктуру. Это указывает на организованную кампанию, направленную на использование доверия пользователей к популярным проектам. Предыдущие случаи также включали отравленные SDK и поддельные установщики, что подтверждает тренд на использование периферийных элементов репозиториев для доставки вредоносного ПО.

Для организаций, столкнувшихся с подобной угрозой, рекомендуется считать систему скомпрометированной в случае запуска файлов start.bat или loader.py из подозрительных репозиториев. Эксперты советуют выполнить полную переустановку операционной системы. Даже если пароли не хранятся локально, сессии браузера следует считать скомпрометированными, так как кража файлов cookie может позволить злоумышленникам обойти многофакторную аутентификацию. Ситуация требует пересмотра процедур проверки безопасности при интеграции сторонних моделей ИИ в производственные контуры.

Доверие как вектор атаки: почему реестры ИИ стали новой мишенью

Инцидент с поддельным репозиторием на платформе Hugging Face, имитирующим обновление от OpenAI, демонстрирует смену парадигмы в кибербезопасности. Злоумышленники перестали полагаться исключительно на уязвимости в периметре или фишинг. Теперь они проникают в корпоративные сети, используя доверие разработчиков к публичным реестрам моделей. Атака была направлена не на взлом серверов самой OpenAI, а на создание иллюзии легитимного продукта. Это меняет правила игры: безопасность теперь зависит от способности команды отличить оригинальный код от подделки, замаскированной под полезный инструмент.

Ключевой особенностью инцидента стало внедрение вредоносного кода не в саму нейросеть, а в вспомогательные скрипты установки. Скрипт отключал проверку безопасности SSL и связывался с внешним сервером, получая инструкции на лету. Это дает возможность менять сценарий атаки без обновления самого репозитория, что делает обнаружение угрозы крайне сложным.

Важный нюанс: Угроза исходит не от самой технологии искусственного интеллекта, а от непрозрачности цепочки поставок программного обеспечения, где исполняемые скрипты становятся основным вектором проникновения.

Цена удобства и слепые зоны защиты

Для бизнеса этот инцидент — сигнал о необходимости пересмотра подходов к управлению рисками. Разработчики и дата-сайентисты, привыкшие быстро интегрировать готовые решения из открытых реестров, часто игнорируют проверку происхождения кода. В погоне за скоростью внедрения они копируют модели напрямую в корпоративные среды, не осознавая, что вместе с полезной функцией могут загрузить инструмент для кражи учетных данных. В данном случае целью стал инфостилер, способный похитить пароли, сессии браузеров и ключи криптокошельков. Потеря доступа к таким данным может привести к утечке коммерческой тайны, финансовым потерям и компрометации внутренних систем.

Особенно тревожным является тот факт, что традиционные инструменты анализа состава программного обеспечения (SCA) плохо справляются с выявлением вредоносной логики в специфических скриптах загрузки моделей. Эти системы эффективны для проверки библиотек и контейнеров, но не умеют анализировать поведение кода в контексте работы с ИИ. Это создает слепую зону в безопасности, которую активно используют киберпреступники. Если компания не внедрит процессы глубокой проверки каждого компонента, используемого в разработке ИИ, она рискует стать жертвой атаки, которую невозможно предотвратить стандартными средствами защиты.

i

Создано специально для ASECTOR

Концептуальное изображение

Экономические последствия такого сценария могут быть масштабными. Взлом корпоративной инфраструктуры через поддельный репозиторий требует не только затрат на устранение последствий, но и потери репутации. Клиенты и партнеры теряют доверие к компании, которая не смогла защитить свои данные. Кроме того, восстановление системы после такой атаки часто требует полной переустановки операциальной системы, что приводит к простою бизнес-процессов. В условиях, когда время простоя стоит дорого, такие инциденты становятся серьезным ударом по операционной эффективности.

Стоит учесть: Компании, откладывающие внедрение процедур проверки безопасности сторонних моделей, рискуют столкнуться с потерей контроля над своими критическими активами и данными.

Масштаб угрозы и роль легитимных инструментов

Анализ показал, что атака не была единичной. Специалисты выявили еще шесть репозиториев на платформе Hugging Face, содержащих идентичную логику загрузки и использующих общую инфраструктуру. Это указывает на организованную кампанию, направленную на использование доверия пользователей к популярным проектам.

Исследователи отмечают, что злоумышленники активно используют встроенные инструменты операционных систем для маскировки своей деятельности. В частности, PowerShell и другие легитимные утилиты Windows (PsExec, MSBuild) становятся ключевыми элементами безфайловых атак. По данным аналитиков, 42% случаев повышения привилегий связаны с использованием таких инструментов, что позволяет атакующим оставаться незамеченными для традиционных антивирусов [!]. Вредоносное ПО DeepLoad, например, использует PowerShell для проведения атак без создания файлов, убеждая жертв выполнять команды, которые запускают компрометацию системы [!].

Ситуация усугубляется тем, что Microsoft Windows остается основной целью киберпреступников: более 48% пользователей этой операционной системы столкнулись с различными типами атак в 2025 году [!]. Это связано с её высокой популярностью и широким распространением в корпоративном секторе. Угрозы включают распространение вредоносного и вымогательского ПО, а также фишинг. Атакующие объединяют PowerShell с другими встроенными инструментами Windows, чтобы минимизировать вероятность обнаружения [!]. В некоторых случаях PowerShell применяется для запуска скриптов, встроенных в изображения или архивы, что позволяет скрытно установить удаленный доступ и красть данные.

На фоне этого: Атака через Hugging Face — это лишь вектор доставки, а реальная угроза реализуется через стандартные инструменты Windows, которые до сих пор считаются безопасными в корпоративных политиках.

Будущее безопасности: от доверия к верификации

Инцидент с репозиторием Open-OSS/privacy-filter указывает на необходимость создания новых стандартов безопасности для экосистемы ИИ. Эксперты из IDC прогнозируют, что к 2027 году 60% агентных систем ИИ должны будут иметь «список материалов» (Bill of Materials). Этот документ позволит компаниям отслеживать все используемые артефакты, их происхождение и наличие исполняемых компонентов. Такой подход напоминает систему прослеживаемости в пищевой промышленности, где каждый ингредиент имеет сертификат качества. В мире ИИ это означает, что каждая модель и каждый скрипт должны проходить строгую верификацию перед использованием.

Организованный характер атаки, подтвержденный обнаружением еще шести репозиториев с идентичной логикой, свидетельствует о том, что киберпреступники создают целые инфраструктуры для массового распространения вредоносного ПО. Они используют доверие пользователей к популярным проектам, чтобы внедрить свои инструменты в рабочие процессы разработки. Это требует от организаций пересмотра процедур проверки безопасности при интеграции сторонних моделей. Необходимо внедрять механизмы, которые не только проверяют код на наличие уязвимостей, но и анализируют его поведение в реальном времени.

Для российского бизнеса этот тренд означает необходимость адаптации к новым условиям. Глобальные цепочки поставок ИИ становятся все более сложными, и риски, возникающие на одном конце, могут быстро распространиться на другой. Компании должны быть готовы к тому, что безопасность ИИ-проектов будет зависеть не только от внутренних политик, но и от качества проверок на уровне поставщиков решений. Это требует инвестиций в новые инструменты мониторинга и анализа, а также в обучение сотрудников, которые будут работать с ИИ-моделями.

В конечном итоге, инцидент с поддельным репозиторием показывает, что удобство и скорость внедрения технологий не должны идти в ущерб безопасности. Бизнес, который игнорирует эти риски, рискует столкнуться с последствиями, которые могут быть гораздо серьезнее, чем первоначальные затраты на проверку. В мире, где ИИ становится неотъемлемой частью инфраструктуры, способность отличить полезный код от вредоносного становится ключевым фактором выживания.

Важный нюанс: Переход от модели «доверяй, но проверяй» к модели «проверяй, прежде чем доверять» становится единственным способом защиты от угроз, скрытых в легитимных на первый взгляд инструментах разработки.

Сигнал для рынка: изменение баланса сил

Ситуация с Hugging Face отражает более широкий тренд: 66% инцидентов безопасности связаны с уязвимостями в цепочке поставок и ошибками конфигурации [!]. Это ставит инцидент с поддельным репозиторием в контекст глобального тренда, а не единичного случая. Подтверждается необходимость перехода от защиты периметра к защите цепочки поставок (Supply Chain Security).

Отдельного внимания заслуживает реакция лидеров рынка. OpenAI меняет стратегию, предоставляя доступ к ИИ защитникам через программу Trusted Access for Cyber, так как хакеры уже используют средние модели для масштабирования атак [!]. Компания делает ставку на скорость оснащения доверенных защитников инструментами, а не на сдерживание развития технологий через жесткие ограничения доступа. Это создает контраст: хакеры используют публичные реестры для атак, а легальные игроки вынуждены менять правила доступа.

Кроме того, использование API Hugging Face группировками типа APT28 (Fancy Bear) для генерации команд Windows демонстрирует переход от теоретических возможностей ИИ к их практическому применению в киберпреступлении [!]. Это указывает на рост угроз, связанных с эксплуатацией ИИ-инструментов для масштабирования и усложнения атак. Если государственные хакерские группировки уже используют Hugging Face, то атака на репозиторий может быть не просто работой «киберпреступников ради денег», а частью геополитической кампании по компрометации инфраструктуры. Это резко повышает значимость инцидента для российских компаний, работающих с критической инфраструктурой.

В условиях, когда кибератаки ускорились, злоумышленники перешли от скрытности к быстрому выполнению задач, используя автоматизированные инструменты и ИИ для создания вредоносных программ [!]. Атаки на Windows-системы доминируют, фокусируясь на выполнении действий и использовании легитимных инструментов. Платформа остается основной целью из-за её доминирования в корпоративных и пользовательских средах, а также широкого спектра инструментов для маскировки вредоносной активности.

Для организаций, столкнувшихся с подобной угрозой, эксперты советуют выполнить полную переустановку операционной системы. Даже если пароли не хранятся локально, сессии браузера следует считать скомпрометированными, так как кража файлов cookie может позволить злоумышленникам обойти многофакторную аутентификацию. Ситуация требует пересмотра процедур проверки безопасности при интеграции сторонних моделей ИИ в производственные контуры.