- Los atacantes ingresaron un repositorio de OpenAI en HuggingFace y distribuyeron un ladrón de información disfrazado de modelo de “filtro de privacidad”.
- El malware deshabilitó las comprobaciones SSL, los privilegios elevados y se implementó. Sefirá Carga útil para robar credenciales, billeteras criptográficas y datos del sistema
- El repositorio falso tuvo 244.000 descargas y brevemente encabezó la clasificación de HuggingFace antes de ser eliminado, mientras que otros repositorios maliciosos vinculados también fueron eliminados.
Los expertos advierten que los ciberdelincuentes pudieron aprovechar los productos OpenAI para distribuir el malware InfoStealer a más de 240.000 ordenadores.
El investigador de seguridad Hiddenlayer dijo que encontraron un nuevo repositorio llamado Open-OSS/privacy-filter en HuggingFace.
El repositorio de filtros de privacidad es, según Hidden Layer, una versión tipográfica del lanzamiento oficial, que venía con una tarjeta modelo que fue copiada “casi palabra por palabra”. El archivo loader.py que se le envía busca y ejecuta una infostellar, agregaron.
levantándose
Antes de eliminar InfoStellar, el malware primero desactiva la verificación SSL, decodifica una URL base64 y descarga una carga útil JSON con un comando de PowerShell. Este comando, a su vez, descarga un archivo por lotes que aumenta los privilegios, implementa la carga útil ‘sefirah’, la agrega a la lista de exclusión de Microsoft Defender y luego la ejecuta.
El propio Infostellar hace lo que hacen la mayoría de los infostellars: secuestrar datos almacenados en los navegadores, extraer tokens de Discord, bases de datos locales y claves maestras, información de billeteras de criptomonedas, datos de extensiones del navegador, SSH, FTP, credenciales de VPN, así como robar archivos confidenciales almacenados localmente. También puede tomar capturas de pantalla, extraer información del sistema y más.
El número de descargas en repositorios falsos es enorme: 244.000 descargas en tan solo unos días.
Sin embargo, esto no significa que cada descarga provoque una infección. Computadora pitandoDice que los números de descarga pueden estar inflados y que 667 cuentas generadas automáticamente le dieron “me gusta” al repositorio. Aún así, incluso si todo fuera falso, la colección logró alcanzar el puesto número 1 por un breve momento en caras abrazables, lo que debe haber causado la infección.
Sin embargo, al seguir el rastro de cuentas falsas, Hidden Layer pudo revelar otros repositorios menos exitosos, que también eran maliciosos y utilizaban la misma infraestructura. Todos estos fueron posteriormente retirados de la plataforma.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
