偽造 OpenAI 代碼庫竊取用戶憑證後被下架

事件概述

一個冒充 OpenAI 隱私過濾器的偽造代碼庫在 Hugging Face 平臺登上趨勢榜首位。該惡意倉庫在 18 小時內獲得了約 24.4 萬次下載和 667 個讚，隨後被下架。安全公司 HiddenLayer 調查發現，其中 657 個讚來自機器人帳號。

惡意程序機制

該倉庫內藏六階段竊密程序，具體運作方式如下：

• 禁用安全檢測：通過 loader.py 腳本無聲禁用安全檢測機制。
• 執行載荷：靜默執行 PowerShell 後，下載以 Rust 編寫的終端載荷。
• 高權限運行：以 SYSTEM 權限運行惡意軟件。

數據竊取範圍

惡意軟件會竊取以下敏感信息並截屏發送給攻擊者：

• Chrome 和 Firefox 瀏覽器中的密碼。
• 加密錢包助記詞。
• SSH 密鑰。
• FTP 憑證。
• Discord 令牌。

反分析機制

為了規避分析，該惡意軟件會檢測運行環境，特別針對虛擬機環境進行識別，以確保在虛擬環境中也能成功執行竊取程序。