2026-05-18 06:44:18 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年5月7日披露的HuggingFace供应链投毒事件中，攻击者通过仿冒OpenAI的恶意仓库Open-OSS/privacy-filter传播Sefirah信息窃取木马，累计获24.4万次下载。该恶意软件具备反虚拟机/沙箱检测能力，窃取浏览器凭据、加密货币钱包等敏感数据，C2基础设施与npm平台攻击存在重叠。建议受影响用户立即重置系统、轮换凭证，并验证仓库来源与启用签名验证。 综合评分： 85 文章分类： 供应链安全,恶意软件,威胁情报,漏洞预警,安全意识

cover_image

Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据

原创

威胁情报中心威胁情报中心

奇安信威胁情报中心

2026年5月11日 10:36 北京

在小说阅读器读本章

去阅读

事件概述

2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typosquatting 技术冒充 OpenAI 官方 “Privacy Filter” 项目，成功进入平台趋势榜榜首位置。该仓库在被清除前累计获得约 244,000 次下载，成为开源 AI 平台历史上最严重的大规模恶意软件分发事件之一。

此次攻击的核心 payload 为基于 Rust 语言开发的 Sefirah 信息窃取木马，具备完整的反分析能力和广泛的数据窃取范围。受害者的浏览器凭据、加密货币钱包、Discord 令牌、SSH/VPN 凭证等敏感数据均面临泄露风险。攻击活动与 npm 平台 typosquatting 攻击存在基础设施重叠，表明威胁行为体正在跨平台构建规模化攻击能力。

攻击技术分析

初始访问：Typosquatting 与信任滥用

攻击者采用经典的 typosquatting 技术，在 Hugging Face 平台注册与合法项目名称高度相似的仓库名 Open-OSS/privacy-filter，冒充 OpenAI 官方发布的 Privacy Filter 项目。攻击者几乎逐字复制了原始项目的模型卡片（Model Card）内容，使用虚假但看似可信的项目文档建立欺骗性。

攻击者进一步通过自动化脚本生成大量虚假账户，对恶意仓库进行 “star” 操作，人为提升其在趋势榜单的排名。在社交工程手段的推动下，该仓库短暂登上 趋势榜榜首，借助平台公信力进一步扩大传播范围。研究人员分析发现，约 667 个点赞账户中的绝大多数为自动生成的虚假账户，用于制造社区认可的假象。

感染链：多阶段 Payload 投递

恶意仓库采用四阶段感染链完成初始访问到最终 payload 部署的全过程。

第一阶段：loader.py

仓库中的 loader.py 文件被设计为看起来像正常的 AI 相关代码，但实际执行以下恶意行为：

禁用 SSL 证书验证，绕过安全连接保护
从远程服务器获取 base64 编码的 URL
解码后访问外部资源获取 JSON 格式的 PowerShell 命令

第二阶段：PowerShell 命令执行

解码后的 PowerShell 命令在隐藏窗口中执行，下载批处理文件 start.bat 并执行权限提升操作。

第三阶段：start.bat

该批处理文件完成以下关键步骤：

静默添加最终 payload 到 Microsoft Defender 排除列表
下载最终有效载荷 sefirah
以提升的权限执行窃密木马

第四阶段：Sefirah 窃密木马

最终 payload 为基于 Rust 语言编译的 Sefirah 信息窃取器，具备以下数据窃取能力：

#

反分析机制

Sefirah 恶意软件集成多层反分析能力，用于规避安全研究人员和自动化分析系统的检测：

虚拟机检测：识别 VMware、VirtualBox、QEMU 等虚拟化环境
沙箱检测：识别主流沙箱平台的行为特征
调试器检测：检测调试器附加行为和断点设置
分析工具检测：识别 Wireshark、Procmon 等分析工具的运行状态

该恶意软件仅在确认为真实受害者环境后才会完整执行恶意行为，这种选择性执行策略显著增加了安全分析的难度。

数据外泄

窃取的数据经过压缩后通过 HTTP 协议外泄至 C2 服务器 recargapopular[.]com。

C2 基础设施分析

根据关联分析，C2 域名 recargapopular.com 的基础信息如下：

| 属性 | 详情 | | — | — | | 注册时间 | 2026-02-16 | | 到期时间 | 2027-02-16 | | 注册商 | TUCOWS.COM, CO. | | 名称服务器 | deborah.ns.cloudflare.com / west.ns.cloudflare.com | | 当前解析 IP | 172.67.165.218 / 104.21.66.235 | | 安全状态 | 未见公开恶意标记 |

该域名于攻击事件前约三个月注册，使用 Cloudflare 名称服务器隐藏真实基础设施。注册时间与攻击活动时序的高度相关性表明，这是一次有预谋的基础设施部署。C2 服务器通过 Cloudflare CDN 节点中转，显著增加了溯源难度。

威胁归因

HiddenLayer 研究人员发现此次攻击与 npm typosquatting 活动存在直接关联。攻击者使用相同的 loader 基础设施分发 WinOS 4.0 植入程序，表明同一威胁行为体正在多个开源生态系统同步运营。

关键归因线索：

基础设施重叠：loader.py 脚本与 npm 恶意包的代码结构高度相似
TTP 一致性：两起攻击采用相同的 C2 通信模式和数据外泄格式
时间关联：活动间隔符合同一操作团队的运营节奏

此次攻击活动体现了现代网络犯罪的组织化特征：攻击者具备跨平台运营能力，能够根据不同平台特点调整投递策略，同时维护底层基础设施的统一性。

MITRE ATT&CK 映射

| 战术阶段 | 技术编号 | 技术名称 | | — | — | — | | 初始访问 | T1661 | 钓鱼攻击（通过社会工程实现） | | 初始访问 | T1526 | 供应链攻陷 | | 持久化 | T1547.001 | 引导登录完成时自启动（添加 Defender 排除列表） | | 防御规避 | T1562.001 | 禁用安全工具（禁用 SSL 验证） | | 防御规避 | T1562.001 | 添加安全工具排除项 | | 防御规避 | T1497.001 | 虚拟机/沙箱检测 | | 凭证访问 | T1555.003 | 浏览器凭证窃取 | | 凭证访问 | T1552.001 | 凭据文件未保护存储 | | 凭证访问 | T1552.004 | 私钥窃取 | | 发现 | T1592.004 | 收集受害者主机信息 | | 数据外泄 | T1041 | 通过 C2 信道外泄数据 |

#

防御建议

对于已下载该恶意仓库内容的用户，奇安信威胁情报中心建议采取以下响应措施：

系统重置：立即重新映像受感染主机，确保恶意 payload 及持久化机制被完全清除
凭证轮换：轮换所有存储在受影响系统中的密码、API 密钥、SSH 密钥
加密资产保护：更换所有加密货币钱包，废弃相关种子短语和私钥
会话失效：使所有浏览器会话令牌失效，重置双因素认证凭证
日志审计：审查近期的登录活动，识别是否存在异常访问行为

对于 AI 开发社区，我们建议：

在安装任何第三方模型前，验证仓库的官方来源和发布者身份
启用仓库的签名验证功能，验证代码完整性
避免依赖下载量作为信任依据，该指标可被人为操纵
在隔离环境（如沙箱虚拟机）中测试新获取的模型和代码

结论

此次事件是开源 AI 生态系统面临供应链攻击风险的典型案例。Hugging Face 作为全球领先的 AI 模型托管平台，每日承载大量模型分发任务，其信任机制被攻击者利用进行大规模恶意软件传播。Sefirah 窃密木马的技术成熟度和反分析能力表明，攻击者已具备开发高质量攻击工具的专业能力。

跨平台攻击活动的发现进一步揭示了当前威胁格局的演变趋势：攻击者不再局限于单一平台，而是在多个开源生态系统中建立持续性存在，利用各平台的安全盲区实现攻击规模的扩大化。

参考来源

https://www.bleepingcomputer.com/news/security/fake-openai-repository-on-hugging-face-pushes-infostealer-malware/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心威胁情报中心威胁情报中心《Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据》