Fake OpenAI-Repo auf Hugging Face: 244.000 Downloads, ein Infostealer und eine chinesische Hackertruppe
Supply-Chain-Angriff auf Hugging Face: Wie ein Fake-Repo 244.000 Mal heruntergeladen wurde
Gefälschtes Repository: Open-OSS/privacy-filter imitierte OpenAIs legitimes Modell openai/privacy-filter nahezu identisch
Schadcode: Ein Rust-basierter Infostealer stahl Daten aus Browsern, Crypto-Wallets, Discord und mehr
Reichweite: Rund 244.000 Downloads und 667 Likes in nur 18 Stunden - vermutlich durch künstlich aufgeblasene Zahlen
Sechs weitere Repos: HiddenLayer identifizierte zusätzliche Repositories mit demselben Loader-Schema
Verbindung zu Silver Fox: Infrastruktur deutet auf die chinesische Hackergruppe und deren ValleyRAT-Malware hin
Ein Klon, ein Loader und ein Infostealer
OpenAI hatte sein Privacy-Filter-Modell Ende April 2026 veröffentlicht - ein Open-Weight-Modell zur Erkennung und Schwärzung personenbezogener Daten in unstrukturierten Texten. Kurz darauf tauchte unter dem Namen Open-OSS/privacy-filter eine beinahe identische Kopie auf Hugging Face auf, inklusive unveränderter Modellbeschreibung.
Das gefälschte Repository enthielt jedoch eine Falle: Nutzer wurden angewiesen, ein Batch-Skript ("start.bat") unter Windows oder ein Python-Skript ("loader.py") unter Linux und macOS auszuführen, um das Modell einzurichten. Was stattdessen passierte, beschreibt das HiddenLayer Research Team in seinem Bericht präzise.
„The repository had typosquatted OpenAI's legitimate Privacy Filter release, copied its model card nearly verbatim, and shipped a loader.py file that fetches and executes infostealer malware on Windows machines." - HiddenLayer Research Team
Das Python-Skript deaktivierte zunächst die SSL-Verifizierung, dekodierte eine Base64-verschlüsselte URL über den öffentlichen JSON-Dienst JSON Keeper und leitete darüber einen PowerShell-Befehl ein. JSON Keeper als sogenannter Dead-Drop-Resolver erlaubte den Angreifern, die Payload jederzeit auszutauschen, ohne das Repository selbst anfassen zu müssen.
Von dort ging es über mehrere Stufen weiter: Ein Batch-Skript lud von "api.eth-fastscan[.]org" nach, erhöhte seine Rechte per UAC-Prompt, legte Microsoft Defender-Ausschlüsse an und richtete einen Scheduled Task ein. Der finale Payload war ein Infostealer, der Screenshots anfertigte und Daten aus Chromium- und Gecko-Browsern, Discord, Crypto-Wallets und -Extensions, FileZilla-Konfigurationen sowie Wallet-Seed-Phrases abgriff.
Keine Persistenz nach Neustart - der Scheduled Task löschte sich vor einem Reboot selbst. Die Malware war als einmaliger, SYSTEM-kontext-basierter Datenabgriff konzipiert, nicht als langfristiger Backdoor.
Hintergrund: Hugging Face als Angriffsfläche
Hugging Face ist längst die zentrale Plattform für KI-Modelle geworden - GitHub für den Machine-Learning-Bereich, könnte man vereinfacht sagen. Genau das macht sie zum attraktiven Ziel. Wer ein Modell veröffentlicht, das sich in der Trending-Liste nach oben arbeitet, genießt automatisch ein hohes Maß an implizitem Vertrauen.
Das ist kein neues Muster. Typosquatting und das Imitieren bekannter Pakete haben in Ökosystemen wie npm oder PyPI eine lange Geschichte - von dort scheint das Playbook direkt übernommen worden zu sein. Der Unterschied bei KI-Plattformen ist die Ausführungserwartung: Nutzer laden nicht nur Dateien herunter, sie führen Setup-Skripte aus, weil das bei Modellen schlicht zum Workflow gehört.
HiddenLayer entdeckte nach der initialen Analyse sechs weitere Repositories des Nutzers "anthfu", alle mit demselben Loader-Muster, darunter Fakes von Qwen3, DeepSeek und Gemma-Modellen. Das deutet auf eine koordinierte Kampagne hin, keine spontane Aktion.
Silver Fox, ValleyRAT und ein größeres Bild
Die geteilte Infrastruktur wird interessant, wenn man sie in Verbindung mit früheren Kampagnen setzt. Die Domain "welovechinatown[.]info", die als Command-and-Control-Server auftauchte, war bereits bei einer npm-Typosquatting-Kampagne aktiv, die ValleyRAT (auch bekannt als Winos 4.0) auslieferte. ValleyRAT ist ein modularer Remote-Access-Trojaner, der ausschließlich der chinesischen Hackergruppe Silver Fox zugeschrieben wird.
Silver Fox operiert normalerweise über Phishing-Mails und SEO-Poisoning. Hugging Face als initialer Angriffsvektor ist für diese Gruppe neu - und das ist der eigentlich relevante Punkt. Supply-Chain-Angriffe auf Open-Source-Ökosysteme werden breiter, diversifizierter und gezielter.
Hier eine klare Einschätzung: Die Community hat ein Vertrauensproblem, das sie selbst mitverursacht hat. Trending-Listen auf Plattformen wie Hugging Face funktionieren als sozialer Beweis - 244.000 Downloads in 18 Stunden signalisieren Legitimität, auch wenn diese Zahl künstlich aufgeblasen war. Dass Plattformbetreiber solche Mechanismen nicht härter gegen Manipulation absichern, ist kein Kavaliersdelikt. Es ist eine strukturelle Schwachstelle, die aktiv ausgenutzt wird.
Für jeden, der KI-Modelle aus öffentlichen Repositories bezieht, gilt: Verifiziere den Publisher-Account direkt, vergleiche ihn mit der offiziellen Dokumentation des Modellanbieters und führe niemals Setup-Skripte aus unverifizierten Quellen aus. Dass das gesagt werden muss, sagt schon alles über den aktuellen Zustand der Plattform-Sicherheit.
Quelle(n)