Sicherheitsrisiko durch gefälschtes OpenAI-Repository auf Hugging Face

Gefährliche Täuschung: Maliziöse Software tarnt sich als OpenAI-Veröffentlichung auf Hugging Face

In einer besorgniserregenden Entwicklung für die KI-Community wurde auf der Plattform Hugging Face ein Repository identifiziert, das sich als legitime Veröffentlichung von OpenAI ausgab, jedoch darauf abzielte, Infostealer-Malware auf Windows-Systemen zu verbreiten. Dieser Vorfall, der von Sicherheitsexperten der Firma HiddenLayer aufgedeckt wurde, unterstreicht die wachsende Notwendigkeit erhöhter Wachsamkeit und robuster Sicherheitsstrategien im Umgang mit öffentlich zugänglichen KI-Modellen und -Ressourcen.

Der Vorfall im Detail: Eine Analyse der Bedrohung

Das betroffene Repository, benannt als "Open-OSS/privacy-filter", imitierte die legitime "Privacy Filter"-Veröffentlichung von OpenAI. Die Angreifer nutzten dabei eine Technik namens Typosquatting und kopierten die offizielle Modellkarte von OpenAI nahezu wortgetreu, um den Anschein von Authentizität zu erwecken. Vor seiner Entfernung von der Plattform erreichte das Repository die Top-Trending-Liste von Hugging Face und verzeichnete angeblich rund 244.000 Downloads sowie 667 Likes innerhalb von 18 Stunden. Es wird jedoch angenommen, dass diese Zahlen durch die Angreifer künstlich aufgebläht wurden, um die Glaubwürdigkeit des Projekts zu erhöhen.

Der Kern des Angriffs lag in einer bösartigen Datei namens loader.py. Diese Python-Datei war so konzipiert, dass sie beim Ausführen auf Windows-Systemen eine Kette von Aktionen auslöste, die zur Installation der Infostealer-Malware führte. Die README-Datei des gefälschten Modells wich dabei nur an einem entscheidenden Punkt vom Original ab: Sie wies Benutzer an, start.bat unter Windows oder python loader.py unter Linux/macOS auszuführen – Anweisungen, die für die Infektionskette zentral waren.

Technischer Aufbau der Malware und ihre Funktionsweise

Die loader.py-Datei enthielt zunächst scheinbar legitimen Code, der eine normale KI-Modellladung simulierte. Im Hintergrund deaktivierte das Skript jedoch die SSL-Verifizierung und dekodierte eine Base64-kodierte URL, die zu einem externen JSON-Dienst (jsonkeeper.com) führte. Über diesen Dienst wurde ein Befehl abgerufen, der an PowerShell übergeben und dann in einem unsichtbaren Fenster ausgeführt wurde. Die Nutzung eines öffentlichen JSON-Dienstes als Command-and-Control (C2)-Kanal ermöglichte es den Angreifern, die Payload zu ändern, ohne das Repository selbst modifizieren zu müssen.

Der PowerShell-Befehl führte zum Download einer weiteren Batch-Datei von einer vom Angreifer kontrollierten Domain. Diese Batch-Datei eskalierte die Berechtigungen, lud die finale Payload ("sefirah") herunter, fügte sie den Microsoft Defender-Ausschlüssen hinzu und führte sie aus. Die finale Payload war ein Rust-basierter Infostealer, der darauf ausgelegt war, eine Vielzahl sensibler Daten zu sammeln:

- Browserdaten von Chromium- und Firefox-basierten Browsern (z.B. Cookies, gespeicherte Passwörter, Verschlüsselungsschlüssel, Sitzungstoken). - Discord-Token und lokale Datenbanken. - Kryptowährungs-Wallets und Browser-Erweiterungen. - SSH-, FTP- und VPN-Zugangsdaten und Konfigurationsdateien, einschließlich FileZilla. - Sensible lokale Dateien und Wallet-Seed-Phrasen. - Systeminformationen und Multi-Monitor-Screenshots.

Die Malware verfügte zudem über umfangreiche Anti-Analyse-Funktionen, darunter die Erkennung von virtuellen Maschinen, Sandboxes, Debuggern und Analysetools, um der Entdeckung zu entgehen. Die gesammelten Daten wurden komprimiert und an einen C2-Server unter der Adresse recargapopular[.]com exfiltriert.

Breitere Implikationen und Verknüpfungen

HiddenLayer identifizierte weitere sechs Hugging Face-Repositories unter einem separaten Konto, die ähnliche Lade-Logiken und Infrastrukturen nutzten. Dies deutet darauf hin, dass der Vorfall Teil einer größeren Kampagne sein könnte, die auf die Lieferkette von Open-Source-Ökosystemen abzielt. Es wurden auch Überschneidungen mit einer npm-Typosquatting-Kampagne festgestellt, die das WinOS 4.0-Implantat verbreitete, was auf koordinierte Angriffsversuche hindeutet.

Der Vorfall verdeutlicht eine strukturelle Schwachstelle in der Art und Weise, wie KI-Systeme verteilt und konsumiert werden. Öffentliche KI-Modellregister können zu einem neuen Vektor für Software-Lieferkettenangriffe werden, insbesondere da Entwickler und Datenwissenschaftler Open-Source-Modelle zunehmend direkt in Unternehmensumgebungen klonen, die Zugriff auf Quellcode, Cloud-Zugangsdaten und interne Systeme haben.

Empfehlungen für Unternehmen und Entwickler

Angesichts der Schwere dieses Angriffs sind umgehende Maßnahmen erforderlich:

- Systeme neu aufsetzen: Wenn Sie das Repository "Open-OSS/privacy-filter" geklont und start.bat, python loader.py oder eine andere Datei aus dem Repository auf einem Windows-Host ausgeführt haben, sollten Sie das System als vollständig kompromittiert betrachten. Eine Neuinstallation des Systems wird dringend empfohlen. - Zugangsdaten erneuern: Alle auf dem betroffenen System gespeicherten Zugangsdaten – einschließlich Passwörter, SSH-Schlüssel, API-Token, und Kryptowährungs-Wallets – müssen umgehend geändert oder erneuert werden. Auch Browsersitzungen sollten als kompromittiert betrachtet werden, da gestohlene Sitzungs-Cookies Multi-Faktor-Authentifizierungen umgehen können. - Netzwerküberwachung: Blockieren Sie die identifizierten Indikatoren für Kompromittierung (IOCs) auf Netzwerkebene, insbesondere die Domains api[.]eth-fastscan[.]org und recargapopular[.]com. Führen Sie retrospektive Überprüfungen Ihrer Netzwerkprotokolle durch, um weitere betroffene Hosts zu identifizieren. - Richtlinien für Modellbeschaffung: Etablieren Sie strenge Richtlinien für die Beschaffung von KI-Modellen aus öffentlichen Repositories. Dies sollte eine Überprüfung der Urheberschaft, einen Abgleich der Modellkarten mit offiziellen Quellen und eine Sicherheitsüberprüfung aller ausführbaren Skripte vor der Ausführung umfassen. - Sandboxing und Isolierung: Führen Sie das Laden und Testen von Modellen aus unbekannten Quellen in isolierten und sandboxed Umgebungen durch, um potenzielle Bedrohungen einzudämmen.

Dieser Vorfall verdeutlicht, dass die Sicherheit im KI-Bereich über die traditionellen Herausforderungen wie Halluzinationen von Modellen oder Prompt-Injections hinausgeht. Die KI-Lieferkette ist zunehmend Ziel konventioneller Cyberangriffe, die an die spezifischen Architekturen und Arbeitsabläufe von KI-Entwicklungsumgebungen angepasst sind. Eine proaktive und umfassende Sicherheitsstrategie ist unerlässlich, um diesen Bedrohungen zu begegnen.

Bibliography

- HiddenLayer Research Team. (2026, May 7). Malware Found in Trending Hugging Face Repository "Open-OSS/privacy-filter". HiddenLayer. - Swain, G. (2026, May 11). Malicious Hugging Face model masquerading as OpenAI release hits 244K downloads. InfoWorld. - AI News. (2026, May 12). Hugging Face hosted malicious software masquerading as OpenAI release. Artificial Intelligence News. - Toulas, B. (2026, May 9). Fake OpenAI repository on Hugging Face pushes infostealer malware. BleepingComputer. - Lyrie Threat Intelligence. (2026, May 10). The Trojan in the Trending List: How a Fake OpenAI Repository on Hugging Face Harvested 244K Developer Credentials. Lyrie Research. - Liucveikis, K. (2026, May 12). Hugging Face Pushed Infostealer Via Fake OpenAI Repository. PCrisk. - Kasanmascheff, M. (2026, May 11). Fake OpenAI Hugging Face OpenAI Repo Pushed Infostealer Malware. WinBuzzer. - AI News. (2026, May 12). Hugging Face hosted malicious software masquerading as OpenAI release. prodSens.live. - Security Desk. (2026, May 11). A Fake OpenAI Model Hit #1 on Hugging Face. It Was Malware. Glitchwire. - Rowe, E. (2026, May 11). Hugging Face Malicious Repository Fakes OpenAI Project. CISOwhisperer.