Gefälschtes OpenAI-Repository auf Hugging Face

KI-Sicherheitsleck: Malware-Angriff über Hugging Face enttarnt

Malware, Daemon Tools Supply Chain Angriff, manipulierte Downloads verbreiten Malware, Supply Chain Angriff, Daemon Tools Malware, Daemon Tools, Cyberangriff
LinkedInRedditWhatsApp

Ein gefälschtes OpenAI-Projekt erreichte Platz 1 auf Hugging Face und infizierte Windows-Systeme mit einer Infostealer-Malware.

Die Sicherheitsforscher von HiddenLayer haben eine Cyber-Kampagne aufgedeckt, die das Vertrauen in die weltweit führende KI-Plattform Hugging Face ausnutzt. Unter dem Namen „Open-OSS/privacy-filter“ verbreiteten Angreifer ein Repository, das sich als offizielles Projekt von OpenAI ausgab. Bevor die Plattform reagieren konnte, erreichte die schädliche Software den ersten Platz der Trending-Liste und wurde rund 244.000 Mal heruntergeladen. Ziel des Angriffs war die Infektion von Windows-Systemen mit einem leistungsstarken Infostealer.

Anzeige

Typosquatting im KI-Ökosystem

Hugging Face dient Entwicklern und Forschern als zentrale Drehscheibe für den Austausch von Machine-Learning-Modellen, Datensätzen und Tools. Dieses Vertrauensverhältnis machten sich die Hintermänner der Kampagne zunutze, indem sie das sogenannte Typosquatting anwandten. Sie erstellten ein Repository, das ein legitimes OpenAI-Projekt namens „Privacy Filter“ täuschend echt imitierte.

Die Angreifer kopierten die „Model Card“ (die Beschreibungsseite des KI-Modells) fast wortgetreu, um die Authentizität des Projekts vorzutäuschen. Diese Strategie war so erfolgreich, dass das Repository innerhalb kürzester Zeit an Popularität gewann. Am 7. Mai identifizierten die Experten von HiddenLayer das schädliche Paket, das zu diesem Zeitpunkt bereits von Hunderten Nutzern positiv bewertet worden war.

Schadcode mit Dateinname loader.py

Der eigentliche Schadcode war in einer Datei namens loader.py versteckt. Auf den ersten Blick enthielt dieses Skript harmlos wirkenden Python-Code, der im Zusammenhang mit KI-Anwendungen stehen könnte. Im Hintergrund startete das Skript jedoch eine komplexe mehrstufige Infektionskette:

Anzeige
  1. Deaktivierung der Sicherheit: Zunächst deaktivierte das Skript die SSL-Verifizierung, um ungestört mit externen Servern kommunizieren zu können.
  2. Payload-Abruf: Über eine Base64-kodierte URL kontaktierte das Skript eine externe Ressource und lud eine JSON-Datei herunter.
  3. PowerShell-Ausführung: Diese Datei enthielt einen PowerShell-Befehl, der in einem unsichtbaren Fenster ausgeführt wurde.
  4. Privilege Escalation: Ein nachgeladenes Batch-File (start.bat) versuchte, Administratorrechte auf dem lokalen System zu erlangen.

Sobald diese Rechte gewährt wurden, fügte das Skript den eigentlichen Schadcode zu den Ausnahmen von Microsoft Defender hinzu, um eine Entdeckung durch den integrierten Virenschutz zu verhindern.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sefirah: Ein hochspezialisierter Rust-Infostealer

Das finale Ziel der Angreifer war die Ausführung von „Sefirah“, einer in der Programmiersprache Rust geschriebenen Malware. Sefirah gehört zur Kategorie der Infostealer und ist darauf ausgelegt, so viele sensible Daten wie möglich von dem infizierten Rechner zu extrahieren.

Die Malware zielt unter anderem auf folgende Daten ab:

  • Browser-Daten: Passwörter, Cookies, Sitzungs-Token und Verschlüsselungs-Keys aus Chromium- und Gecko-basierten Browsern (z. B. Chrome, Edge, Firefox).
  • Discord: Token, lokale Datenbanken und Master-Keys zur Übernahme von Benutzerkonten.
  • Kryptowährungen: Private Keys, Seed-Phrasen und Daten aus Browser-Erweiterungen für Wallets.
  • Zugangsdaten: Konfigurationen und Passwörter für SSH-, FTP- und VPN-Dienste, einschließlich FileZilla.
  • Systeminformationen: Screenshots von allen angeschlossenen Monitoren und allgemeine Systemkonfigurationen.

Die gestohlenen Informationen wurden komprimiert und an einen Command-and-Control-Server (C2) mit der Adresse recargapopular[.]com übertragen.

Umgehung von Microsoft Defender und Analyse-Tools

Besonders besorgniserregend sind die Anti-Analyse-Funktionen von Sefirah. Die Entwickler der Malware haben zahlreiche Mechanismen integriert, um Sicherheitsforschern die Arbeit zu erschweren. Die Software prüft vor der Ausführung, ob sie sich in einer virtuellen Maschine (VM), einer Sandbox oder einer Debugger-Umgebung befindet.

Wird eine solche Umgebung erkannt, bricht die Malware den Vorgang ab oder verhält sich unauffällig. Diese Umgehungstechniken, kombiniert mit der automatischen Eintragung in die Defender-Exclusions, machen Sefirah zu einer ernsthaften Bedrohung für Windows-Endpunkte, da herkömmliche signaturbasierte Schutzmaßnahmen oft erst greifen, wenn der Schaden bereits angerichtet ist.

Manipulation von Plattform-Metriken

Obwohl die Zahl von 244.000 Downloads alarmierend hoch klingt, weisen die Forscher darauf hin, dass diese Zahlen möglicherweise künstlich manipuliert wurden. Eine Analyse der 667 Konten, die das Repository mit einem „Like“ markiert hatten, ergab, dass die überwiegende Mehrheit dieser Profile automatisiert erstellt wurde.

Diese Form der Metrik-Manipulation dient dazu, das Vertrauen der echten Nutzer zu gewinnen. Ein Repository mit vielen Downloads und Likes erscheint in der algorithmischen Sortierung von Hugging Face ganz oben, was wiederum zu echten Installationen führt. HiddenLayer entdeckte im Zuge der Untersuchung weitere Repositories, die dieselbe Infrastruktur nutzten, was auf eine größere, koordinierte Kampagne hindeutet. Es wurden zudem Überschneidungen mit einer Typosquatting-Kampagne im npm-Ökosystem festgestellt, die das „WinOS 4.0“-Implantat verbreitete.

Sofortmaßnahmen für betroffene Nutzer

Für Anwender, die in den vergangenen Tagen KI-Modelle oder Tools aus dem Bereich „Open-OSS“ oder explizit das „privacy-filter“-Paket heruntergeladen haben, besteht dringender Handlungsbedarf. Da sich die Malware tief im System einnistet und Zugriffsrechte manipuliert, wird folgendes Vorgehen empfohlen: Nutzer sollten betroffene Systeme vollständig neu aufsetzen (Reimaging). Ein bloßes Löschen der Dateien reicht oft nicht aus, um alle Persistenzmechanismen der Malware zu entfernen. Zusätzlich müssen alle gespeicherten Passwörter geändert, Sitzungstoken für Webdienste für ungültig erklärt und Kryptowährungs-Wallets auf neue, sichere Adressen transferiert werden. Invalide Browser-Sitzungen sollten über die „Überall abmelden“-Funktionen der jeweiligen Anbieter beendet werden.

Hugging Face hat das betroffene Repository nach entsprechenden Meldungen gelöscht. Dennoch unterstreicht der Vorfall die Notwendigkeit für eine strengere Überprüfung von Inhalten auf spezialisierten KI-Plattformen, da Angreifer zunehmend die Infrastruktur der KI-Entwicklung für klassische Cyberkriminalität missbrauchen.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Malware, Daemon Tools Supply Chain Angriff, manipulierte Downloads verbreiten Malware, Supply Chain Angriff, Daemon Tools Malware, Daemon Tools, Cyberangriff
12. Mai 2026
KI-Sicherheitsleck: Malware-Angriff über Hugging Face enttarnt
Ransomware-Gruppe, ransomware dezember 2024, Ransomware, Hacker
12. Mai 2026
Ransomware-Angriffe nehmen zu – Lösegeldforderungen steigen
BaFin
12. Mai 2026
Immobilienkredite und Cybergefahren: BaFin mahnt zur Vorsicht
Finanzen rot
12. Mai 2026
Finanzstabilität in Gefahr: Claude Mythos alarmiert den IWF

Weitere Artikel

Ransomware-Angriffe nehmen zu – Lösegeldforderungen steigen
Immobilienkredite und Cybergefahren: BaFin mahnt zur Vorsicht
Millionen-Betrug im Google Play Store: Android-Apps liefern gefälschte Anruflisten
Deutschlands eigenwilliger Weg zur KI: Budget vorhanden, Fortschritt blockiert?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.