Model open-source OpenAI palsu masuk juara Hugging Face! 240.000 unduhan tersembunyi malware

perusahaan keamanan siber HiddenLayer mengungkapkan bahwa sebuah model berbahaya yang meniru Privacy Filter OpenAI hanya dalam 18 jam langsung menjadi yang terpopuler di Hugging Face, menarik lebih dari 240.000 unduhan, dengan di baliknya tersembunyi enam tahap pencuri informasi Rust, yang secara khusus menargetkan kata sandi browser, dompet cryptocurrency, dan kunci SSH.
（Prakata: WSJ: Google mengadakan pertemuan rahasia dengan SpaceX untuk membahas kemajuan “pusat data AI orbit”, armada satelit ratusan juta Elon Musk menyambut IPO epik）
（Tambahan latar belakang: Startup keamanan AI Depthfirst mengumumkan mengalahkan model Mythos dari Anthropic! Mengungkap celah epik NGINX yang bersembunyi selama 18 tahun, biaya perbaikan hanya 1/10）

Daftar isi artikel

Toggle

• Menjadi terpopuler dalam 18 jam, hampir sembilan dari sepuluh suka berasal dari akun bot
• Rantai serangan enam tahap: dari tampilan pelatihan palsu hingga pencurian hak akses tingkat sistem
• Menargetkan Chrome/Firefox, Discord, dompet cryptocurrency
• Bukan kejadian tunggal: setidaknya tujuh repositori berbahaya telah diidentifikasi
• Apa yang harus dilakukan jika Anda mengunduhnya?

OpenAI merilis model sumber terbuka Privacy Filter pada akhir April—sebuah model ringan yang secara otomatis dapat mendeteksi dan menyembunyikan informasi identifikasi pribadi (PII) dalam teks, dan dirilis di Hugging Face dengan lisensi Apache 2.0, dengan cepat menarik perhatian banyak pengembang. Namun, gelombang ini juga menarik tamu tak diundang.

Perusahaan keamanan siber HiddenLayer mengungkapkan bahwa sebuah akun palsu bernama “Open-OSS” memposting repositori yang hampir identik di Hugging Face, dengan nama yang sama privacy-filter, dan kartu model yang menyalin kata demi kata versi resmi dari OpenAI. Satu-satunya perbedaan tersembunyi di dalam file readme—yang mengarahkan pengguna untuk mengunduh dan menjalankan start.bat (Windows) atau loader.py (Linux/Mac).

Menjadi terpopuler dalam 18 jam, hampir sembilan dari sepuluh suka berasal dari akun bot

Repositori palsu ini mencapai posisi teratas dalam daftar terpopuler di Hugging Face dalam waktu singkat 18 jam, dengan sekitar 244.000 unduhan dan 667 suka. HiddenLayer melacak bahwa 657 dari suka tersebut berasal dari akun yang sesuai pola nama bot otomatis—dengan kata lain, lebih dari 98% sinyal sosial adalah palsu. Jumlah unduhan juga kemungkinan besar diisi dengan metode yang sama, menciptakan ilusi popularitas yang tinggi, memancing pengembang asli untuk tertarik.

Rantai serangan enam tahap: dari tampilan pelatihan palsu hingga pencurian hak akses tingkat sistem

Perangkat lunak berbahaya ini dirancang sangat canggih. Saat loader.py dijalankan, ia menampilkan output pelatihan model palsu—progress bar, dataset sintetis, nama kelas virtual—seperti sedang menjalankan loader AI yang nyata. Tapi di latar belakang, ia diam-diam menonaktifkan pemeriksaan keamanan, menarik sebuah perintah terenkripsi dari situs posting JSON publik, dan mengirimkannya ke PowerShell yang tersembunyi.

Perintah tersebut mengunduh skrip kedua dari domain yang menyamar sebagai API analisis blockchain (api.eth-fastscan.org), lalu skrip ini mengunduh payload berbahaya yang sebenarnya—sebuah pencuri informasi yang dibuat dengan bahasa Rust. Ia secara otomatis menambahkan dirinya ke daftar pengecualian Windows Defender, dan dijalankan dengan hak SYSTEM melalui tugas penjadwalan. Setelah tugas dijalankan, ia menghapus dirinya sendiri secara otomatis, hampir tanpa meninggalkan jejak.

Menargetkan Chrome/Firefox, Discord, dompet cryptocurrency

Pencuri informasi ini benar-benar “tidak melewatkan satu pun”. Ia mengumpulkan semua data yang disimpan di Chrome dan Firefox—kata sandi, cookie sesi login, riwayat browsing, kunci enkripsi; menargetkan akun Discord, seed phrase dompet cryptocurrency, kunci SSH, kredensial FTP; dan juga mengambil screenshot dari semua layar. Akhirnya, semua data tersebut dikemas dalam file JSON yang dikompresi dan dikirim ke server yang dikendalikan penyerang.

Lebih licik lagi, perangkat lunak berbahaya ini juga mendeteksi apakah ia dijalankan di mesin virtual atau lingkungan sandbox yang aman, dan jika terdeteksi, ia diam-diam keluar. Desainnya adalah serangan sekali pakai yang menargetkan target nyata, mencuri semua data, lalu menghilang tanpa jejak.

Bukan kejadian tunggal: setidaknya tujuh repositori berbahaya telah diidentifikasi

HiddenLayer menunjukkan bahwa ini bukan kejadian terisolasi. Mereka menemukan di bawah server perintah yang sama, ada enam repositori lain di akun Hugging Face bernama “anthfu” yang menggunakan loader berbahaya yang sama persis, diunggah pada akhir April. Model palsu yang disebarkan termasuk Qwen3, DeepSeek, dan Bonsai, semuanya menargetkan pengembang AI.

Penyerang tidak menyerang langsung OpenAI atau Hugging Face, melainkan merilis versi tiruan yang tampak nyata, menggunakan bot untuk memanipulasi peringkat populer, lalu menunggu pengembang mengunduh dan menjalankan sendiri. Skrip ini pernah muncul dalam serangan rantai pasokan perpustakaan JavaScript LottiePlayer pada tahun 2024, yang menyebabkan seorang pengguna kehilangan 10 Bitcoin (nilai lebih dari 700.000 dolar saat itu).

Repositori palsu ini saat ini sudah dihapus dari Hugging Face, tetapi hingga saat ini, platform belum mengumumkan mekanisme peninjauan repositori populer yang baru. Ada total tujuh repositori berbahaya yang diketahui, dan jumlah yang belum terdeteksi atau yang sudah dihapus sendiri masih menjadi misteri.

Jika Anda mengunduhnya, apa yang harus dilakukan?

Para ahli keamanan menyarankan bahwa jika Anda pernah menyalin Open-OSS/privacy-filter di Windows dan menjalankan file apa pun di dalamnya, anggap perangkat tersebut sudah sepenuhnya terinfeksi—sebelum membersihkan, jangan login ke layanan apa pun dari komputer tersebut. Selanjutnya, ubah semua kredensial yang disimpan di browser, buat dompet baru di perangkat bersih, dan segera transfer aset cryptocurrency. Sesi Discord harus dihapus paksa dan password direset, kunci SSH dan kredensial FTP juga harus dianggap bocor.