セキュリティ研究者たちは、Hugging Faceの最上位ランキングリポジトリの1つに隠されたコバート情報盗取マルウェアを発見しました。これはAIサプライチェーンがもたらす危険性の別の例です。
AI セキュリティベンダーのHiddenLayerは、ブログ投稿で、5月7日にOpen-OSS/privacy-filterが悪意あるものと特定されたと説明しました。
その時点で、このリポジトリはプラットフォーム上で最もトレンドの高いリポジトリの1つとして表示されており、18時間以内に244,000回以上のダウンロードと667個の「いいね」を獲得していました。これらの数字は「ほぼ確実に人為的に水増しされた」ものであり、リポジトリを正当に見えるようにするためだったと、レポートは主張しています。
このリポジトリ自体は、OpenAIの正当なプライバシーフィルターリリースにタイポスクワットし、そのモデルカードをほぼ逐語的にコピーしていたと、HiddenLayerは主張しています。
詳細を読む:Hugging Faceの脅威:Hugging Face上の悪意あるAIモデルが革新的な攻撃技術を悪用
このキャンペーンの攻撃チェーンは6段階にわたって展開されました。ユーザーが悪意あるリポジトリにアクセスしたら、repoをクローンしてstart.bat(Windows)またはpython loader.py(Linux/macOS)を直接実行するよう指示されると、レポートは述べています。
Pythonスクリプトには、base64でエンコードされた文字列が含まれており、最終的に悪意あるファイルをドロップしました。それはRustベースの情報盗取マルウェアです。
情報盗取マルウェアは、被害者のセキュリティコントロールを回避するための複数の技術を特徴としていました。
「Windows APIの使用を隠してスタティック分析を回避し、デバッガとサンドボックスを検出するためのチェックを実行し、仮想マシン(VirtualBox、VMware、QEMU、Xen)で実行されている兆候を探し、Windows Antimalware Scan Interface(AMSI)とEvent Tracing for Windows(ETW)を無効にしようとして動的検出を回避します」と、レポートは説明しています。
マルウェアは、ブラウザのパスワードとセッションクッキー、Discordトークン、暗号通貨ウォレット、Telegramセッション、その他をキャッチするように設計されていました。
リスク低減戦略
HiddenLayerは、悪意あるリポジトリをクローンしてstart.bat、python loader.pyまたはリポジトリ内の他のファイルを実行したユーザーに、自分のシステムを完全に侵害されたものとして扱うよう促しました。
「ペイロードは認証情報を収集する情報盗取マルウェアであるため、消去する前に影響を受けたホストからは何にもログインしないでください」と、ベンダーは説明しました。
「ホストが隔離されたら、そのマシン上のブラウザ、パスワードマネージャー、または認証情報ストアに保存されているすべての認証情報をローテーションしてください。保存済みパスワード、セッションクッキー、OAuthトークン、SSHキー、FTP認証情報(特にFileZilla)、クラウドプロバイダートークンを含みます。」
パスワードが保存されていない場合でも、ユーザーはブラウザセッションを侵害されたものとして扱うべきです。盗まれたセッションクッキーが脅威アクターがMFAをバイパスするのに役立つ可能性があるためです。彼らはまた以下を行うべきです:
- クリーンなデバイスで生成された新しいウォレットに暗号通貨ウォレット資金を移動し、シードフレーズ、キーストア、ウォレット拡張データが盗まれた可能性があると想定する
- Discordセッションを無効にしてDiscordパスワードをリセットする。トークンとマスターキーが明確にターゲットになっているため
- レポート内のIOCを出口でブロックし、接続を歴史的に検索して、影響を受けた他のホストを特定する
情報盗取マルウェアは、活況なサイバー犯罪経済を継続的に助長しています。先月、KELAのデータは、少なくとも3億4700万の認証情報が、約390万台の感染したマシンで発見された情報盗取マルウェアによって元々取得されたことを明らかにしました。
画像クレジット:sdx15 / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/malicious-hugging-face-repo/
