Hugging Face 供应链投毒事件分析:仿冒 OpenAI 仓库窃取敏感数据
· 阅读需 5 分钟
1. 事件概述
2026 年 5 月 7 日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting(仿冒命名)技术冒充 OpenAI 官方项目,并利用虚假账户将其推至趋势榜首位。该事件导致约 244,000 次 恶意下载,成为开源 AI 平台历史上最严重的大规模恶意软件分发事件之一。
核心 Payload:基于 Rust 语言开发的 Sefirah 信息窃取木马,具备反分析能力,窃取范围包括浏览器凭据、加密货币钱包、Discord 令牌及系统敏感信息。
2. 攻击技术分析
2.1 初始访问�:Typosquatting 与信任滥用
- 仿冒策略:注册与合法项目高度相似的仓库名,复制原始模型卡片内容,伪造可信文档。
- 社交工程:通过自动化脚本生成大量虚假账户进行“star”操作,人为提升排名,利用平台公信力扩大传播。
2.2 感染链:多阶段 Payload 投递
| 阶段 | 文件/动作 | 恶意行为描述 |
|---|---|---|
| 第一阶段 | loader.py | 禁用 SSL 验证,远程获取 Base64 编码的 PowerShell 命令 |
| 第二阶段 | PowerShell | 下载并执行批处理文件 start.bat,进行权限提升 |
| 第三阶段 | start.bat | 添加 Defender 排除列表,下载并执行 Sefirah 木马 |
| 第四阶段 | Sefirah | 执行数据窃取与外泄 |
2.3 Sefirah 窃密木马能力分析
- 数据窃取范围:
- 浏览器数据:Cookie、密码、历史记录、会话令牌
- 加密货币:钱包文件及浏览器扩展数据
- 通信工具:Discord 令牌、本地数据库
- 系统凭证:SSH、FTP、VPN 配置文件(如 FileZilla)
- 其他:敏感文件、系统信息、屏幕截图
- 反分析机制:
- 检测 VMware、VirtualBox、QEMU 等虚拟化环境
- 识别沙箱及调试器行为,仅在真实用户环境执行
3. 基础设施与归因
3.1 C2 基础设施
- 域名:
recargapopular[.]com - 注册信息:2026 年 2 月 16 日注册,使用 Cloudflare CDN 隐藏真实 IP
- 通信协议:HTTP 协议进行数据外泄
3.2 威胁归因
- 跨平台关联:与 npm 平台 typosquatting 攻击共享 loader 基础设施,分发
WinOS 4.0�植入程序 - TTP 一致性:相同的代码结构、C2 通信模式及数据外泄格式
- 组织化特征:同一威胁行为体在多个开源生态系统同步运营
4. MITRE ATT&CK 映射
| 战术阶段 | 技术 ID | 技术名称 |
|---|---|---|
| 初始访问 | T1661 | 钓鱼攻击(社会工程) |
| 初始访问 | T1526 | 供应链攻陷 |
| 防御规避 | T1562.001 | 禁用安全工具(SSL 验证、Defender 排除) |
| 发现 | T1592.004 | 收集受害者主机信息 |
| 数据外泄 | T1041 | 通过 C2 信道外泄数据 |
5. 防御建议
5.1 事件响应措施
- 系统重置:重新映像受感染主机,清除持久化机制
- 凭证轮换:更换所有密码、API 密钥、SSH 密钥
- 资产保护:更换加密货币钱包及种子短语
- 会话失效:使浏览器令牌失效,重置双因素认证
5.2 开发安全实践
- 来源验证:安装模型前验证仓库官方性及发布者身份
- 签名验证:启用代码签名验证功能
- 环境隔离:在沙箱虚拟机中测试第三方模型
6. 结论
此次事件揭示了开源 AI 生态系统面临的供应链安全挑战:
- 信任机制滥用:攻击者利用平台排名算法和社区信任进行大规模分发
- 技术成熟度:Sefirah 木马的反分析能力表明攻击工具的专业化趋势
- 跨平台威胁:威胁行为体正通过多平台运营扩大攻击面,需加强生态协同防御