Hugging Face 上冒充 OpenAI 隐私过滤器的恶意软件导致 Rust 信息窃取器泄露

# 假冒 OpenAI 隐私过滤器在 Hugging Face 登顶热门榜 | The CyberSec Guru 来源：https://thecybersecguru.com/news/fake-openai-privacy-filter-hugging-face/ 上周，一个冒充 OpenAI 隐私过滤器（Privacy Filter）工具的虚假仓库曾登上 Hugging Face 热门排行榜首位，在下载量超过 24 万次后被管理员下架。该仓库位于 `Open-OSS/privacy-filter` 命名空间下，是 2026 年 4 月发布的真实 OpenAI 工具的逼真克隆体。原版工具帮助开发者在本地从数据中剔除个人身份信息（PII），而这个假冒版本则反其道而行之：它悄无声息地掏空感染机器中最敏感的数据。 ## **事情经过简述** OpenAI 真正的 Privacy Filter 是一个合法的、在本地运行的 PII 脱敏工具。攻击者几乎逐字复制了其文档，创建了一个镜像仓库，乍一看足以迷惑经验丰富的开发者。在 18 小时内，该仓库积累了 24.4 万次下载和 667 个赞——研究人员认为这些数据是通过 API 驱动的机器人人为刷高，以制造该项目受欢迎且可信的假象。 HiddenLayer 的研究人员于 5 月 7 日标记了此次攻击活动。 ## **感染机制** 遵循仓库设置说明的用户——克隆项目并在 Windows 上运行 `start.bat` 或在 Linux/macOS 上运行 `loader.py`——会触发多阶段感染链。Linux 版本大多处于非活跃状态，但 Windows 路径则完全是另一回事。 脚本首先禁用 SSL 验证，以便恶意软件能在不触发证书警告的情况下回传数据。随后，它从 JSON Keeper（一个被用作“死投点”的公共剪贴板服务）获取编码后的有效载荷，这一技巧让攻击者能够远程更换恶意负载，而无需再次触碰 Hugging Face 仓库。接下来，弹出 Windows UAC 提示以获取管理员权限，随后创建一个伪造成 Microsoft Edge 更新的计划任务，以实现 SYSTEM 级持久化。为了隐藏踪迹，恶意软件将其目录添加到 Microsoft Defender 的排除列表中，并禁用了 AMSI 和 ETW——这是 Windows 捕获恶意活动的两个核心机制。 仓库中的说明 ## **有效载荷：基于 Rust 的数据吸尘器** 环境准备就绪后，一个名为 “sefirah” 的二进制文件被释放到机器上。它由 Rust 编写，这种语言正日益成为恶意软件作者的首选，因为它速度快、内存安全，且比 Python 或 C 语言更难逆向工程。 该有效载荷并行运行了八个数据采集器： - **加密钱包：** 本地钱包文件以及来自 40 多种基于浏览器的钱包扩展的数据。 - **Discord 令牌：** 会话令牌和本地数据库，使攻击者能够完全绕过多重身份验证（MFA）。 - **开发者凭证：** SSH 密钥、FTP 凭证（特别关注 FileZilla）以及 VPN 配置。 - **浏览器数据：** 来自 Chrome、Edge、Firefox、Brave 以及机器上任何其他基于 Chromium 或 Gecko 的浏览器的已保存密码、信用卡、Cookie 和自动填充数据。 - **屏幕截图：** 多显示器截图，以获取感染时屏幕上显示的任何内容。 - **文件搜索：** 扫描包含“backup”（备份）、“seed”（种子）、“secret”（秘密）或“password”（密码）等关键词的文件。 所有数据被打包成 JSON 格式，并通过加密通道发送至位于 recargapopular[.]com 的命令与控制服务器。 攻击流程 ## **与 Silver Fox 的关联** 分析师发现此次攻击活动的基础设施与此前分发 ValleyRAT（也称为 Winos 4.0）的 npm 拼写错误攻击（typosquatting）存在重叠。特别是 `api.eth-fastscan[.]org` 这一域名，曾出现在与 Silver Fox 相关的行动中。Silver Fox 是一个中国威胁组织，也被追踪为 Void Arachne 或 SwimSnake。 Silver Fox 通常同时运行两条轨迹：针对财务和管理人员的定向鱼叉式网络钓鱼，以及通过水坑攻击和 SEO 操纵进行的更广泛的机会主义活动。进入 Hugging Face 生态系统是一种刻意的战略转变。AI 研究人员是高价值目标。他们通常可以访问专有模型、生产基础设施和企业云环境。 ## **为何 Hugging Face 的安全措施未能发现它** Hugging Face 投入了自动化扫描资源，包括用于检测不安全 Python 序列化的“Pickle Scanning”，以及与 Protect AI 和 JFrog 等安全公司的合作。但这些工具主要针对模型权重。通过将恶意逻辑隐藏在普通的 `.py` 和 `.bat` 文件中，攻击者轻松绕过了该平台的主要过滤器。 热门算法也是一个问题。它基于下载次数和点赞数——这两者都可以通过机器人操纵。一旦仓库成为热门，真实用户会将其视为信任信号。但事实并非如此。 ## **如果你运行了该代码该怎么办** 如果你克隆了 `Open-OSS/privacy-filter` 并在 Windows 机器上运行了其中的任何内容，请假定该机器已完全被入侵。由于恶意软件在系统级别运行，并且在流程早期修改了防病毒排除项，事后进行扫描是不够的。 建议的步骤如下： 1. **重新镜像系统。** 重新安装操作系统，而非使用系统还原。恶意软件很可能残留在计划任务中。 2. **轮换该机器上存储的所有凭据。** 密码、会话令牌、“记住我” Cookie——全部都要轮换。会话令牌可以绕过 MFA，因此撤销它们与更改密码同样重要。 3. **审计你的开发环境。** 检查 `~/.ssh/authorized_keys` 中是否有你未添加的密钥。轮换在该机器环境变量中存储的任何 API 密钥（如 AWS、OpenAI、GitHub）。 4. **转移任何加密资产。** 如果该设备上持有加密货币，请视为种子短语已泄露。将资金转移到在干净机器上生成的新钱包中。 ## **未来展望** 在 Hugging Face 上，合法的 OpenAI 项目位于 `openai` 命名空间下。如果命名空间显示为类似 `Open-OSS` 或存在细微拼写错误，那就是危险信号。查找组织名称旁边的“已验证”徽章——这并非万无一失，但可以作为起点。 更广泛地说，此次攻击表明 AI 平台已成为有组织威胁行动者的严肃目标，而不仅仅是机会主义脚本小子（script kiddies）的目标。引入机器学习工具的开发者应对此抱持与对待任何 npm 或 PyPI 包相同的供应链怀疑态度：验证来源，检查真实贡献者最近的活跃情况，并在首次阅读之前绝不运行安装脚本。