Mẫu OpenAI giả mở mã nguồn đăng trên Hugging Face chiến thắng! 240.000 lượt tải ẩn chứa phần mềm độc hại

Mạng an ninh công ty HiddenLayer tiết lộ, một mô hình giả mạo Bộ lọc quyền riêng tư của OpenAI đã leo lên top trending chỉ trong 18 giờ trên Hugging Face, thu hút hơn 240.000 lượt tải xuống, ẩn chứa một trình đánh cắp thông tin Rust sáu giai đoạn, chuyên nhắm vào mật khẩu trình duyệt, seed phrase ví tiền mã hóa và khóa SSH.
(Trước đó: WSJ: Google họp mặt SpaceX bàn về thúc đẩy “trung tâm dữ liệu AI quỹ đạo”, đội vệ tinh hàng triệu của Elon Musk chuẩn bị IPO sử thi)
(Bổ sung nền: Công ty khởi nghiệp an ninh AI Depthfirst tuyên bố đánh bại mô hình Mythos của Anthropic! Phát hiện lỗ hổng dài 18 năm của NGINX, chi phí khai thác chỉ bằng 1/10)

Mục lục bài viết

Toggle

• Leo lên top trending trong 18 giờ, gần chín phần mười lượt thích đến từ tài khoản bot
• Chuỗi tấn công sáu giai đoạn: từ hình ảnh huấn luyện giả đến chiếm quyền hệ thống
• Nhắm vào Chrome/Firefox, Discord, ví tiền mã hóa
• Không phải sự kiện đơn lẻ: ít nhất bảy kho chứa độc hại đã được xác định
• Nếu bạn đã tải xuống thì sao?

OpenAI cuối tháng 4 ra mắt mô hình mã nguồn mở Privacy Filter — một mô hình nhẹ, tự động phát hiện và che mờ thông tin cá nhân nhận dạng trong văn bản (PII), được phát hành dưới giấy phép Apache 2.0 trên Hugging Face, nhanh chóng thu hút sự chú ý của nhiều nhà phát triển. Tuy nhiên, cơn sốt này cũng thu hút những kẻ không mời mà đến.

Công ty an ninh HiddenLayer tiết lộ, một tài khoản giả mạo tên “Open-OSS” đã đăng tải trên Hugging Face một kho chứa gần như giống hệt, tên gọi cũng là privacy-filter, mô hình được sao chép từng chữ từ phiên bản chính thức của OpenAI. Điểm khác biệt duy nhất nằm trong tệp readme — hướng dẫn người dùng tải xuống rồi chạy start.bat (Windows) hoặc loader.py (Linux/Mac).

Leo lên top trending trong 18 giờ, gần chín phần mười lượt thích đến từ tài khoản bot

Kho chứa giả này chỉ trong 18 giờ đã leo lên vị trí số 1 trong bảng xếp hạng phổ biến của Hugging Face, tổng cộng khoảng 244.000 lượt tải và 667 lượt thích. HiddenLayer theo dõi phát hiện, trong số đó có 657 lượt thích đến từ các tài khoản phù hợp với mô hình đặt tên tự động — nói cách khác, hơn 98% tín hiệu xã hội là giả mạo. Số lượt tải cũng rất có thể đã bị làm giả theo cách tương tự, tạo ra ảo giác về độ phổ biến, lừa các nhà phát triển thật sự nhấp vào.

Chuỗi tấn công sáu giai đoạn: từ hình ảnh huấn luyện giả đến chiếm quyền hệ thống

Thiết kế của phần mềm độc hại này khá tinh vi. Khi chạy loader.py, nó đầu tiên hiển thị kết quả huấn luyện mô hình giả — thanh tiến trình, tập dữ liệu tổng hợp, tên lớp ảo — trông giống như một trình tải AI thật đang hoạt động. Nhưng phía sau, nó âm thầm tắt các kiểm tra an toàn, lấy một đoạn lệnh mã hóa từ một trang web đăng JSON công khai, truyền đến PowerShell chạy nền.

Lệnh này tải xuống một đoạn mã thứ hai từ tên miền giả mạo API phân tích chuỗi khối (api.eth-fastscan.org), rồi từ đó tải xuống payload độc hại thực sự — một trình đánh cắp thông tin tùy chỉnh viết bằng Rust. Nó tự động thêm chính nó vào danh sách loại trừ của Windows Defender, chạy bằng quyền SYSTEM qua tác vụ lập lịch, sau khi thực thi sẽ tự xóa chính nó, gần như không để lại dấu vết.

Nhắm vào Chrome/Firefox, Discord, ví tiền mã hóa

Trình đánh cắp này có thể nói là “không bỏ sót thứ gì”. Nó thu thập tất cả dữ liệu lưu trữ trong Chrome và Firefox — mật khẩu, cookie phiên đăng nhập, lịch sử duyệt web, khóa mã hóa; nhắm vào tài khoản Discord, seed phrase ví tiền mã hóa, khóa SSH, chứng chỉ FTP; và chụp màn hình tất cả các màn hình. Cuối cùng, tất cả dữ liệu được đóng gói thành một tệp JSON nén, gửi về máy chủ điều khiển của kẻ tấn công.

Điều đáng sợ hơn nữa là phần mềm độc hại này còn kiểm tra xem nó có đang chạy trong môi trường ảo hoặc sandbox an toàn không, nếu phát hiện thì sẽ âm thầm thoát ra. Thiết kế của nó là tấn công mục tiêu thật, trộm cắp toàn bộ rồi biến mất không dấu vết.

Không phải sự kiện đơn lẻ: ít nhất bảy kho chứa độc hại đã được xác định

HiddenLayer cho biết, đây không phải là sự kiện riêng lẻ. Họ phát hiện dưới cùng một máy chủ lệnh, còn có thêm sáu kho chứa khác trên tài khoản Hugging Face tên “anthfu”, đều sử dụng cùng trình tải độc hại, được đăng tải vào cuối tháng 4. Các mô hình giả mạo gồm Qwen3, DeepSeek và Bonsai, đều nhắm vào các nhà phát triển AI.

Kẻ tấn công không xâm nhập trực tiếp vào OpenAI hay Hugging Face, mà chỉ đăng tải các bản sao giả mạo, dùng bot để đẩy lên top trending, chờ các nhà phát triển tự tải xuống chạy. Kịch bản này từng xuất hiện trong cuộc tấn công chuỗi cung ứng thư viện JavaScript LottiePlayer năm 2024, khiến một người dùng mất 10 Bitcoin (tương đương hơn 700.000 USD thời điểm đó).

Kho chứa giả này hiện đã bị Hugging Face gỡ xuống, nhưng đến thời điểm bài viết, nền tảng vẫn chưa công bố cơ chế kiểm duyệt kho chứa phổ biến mới. Tổng cộng đã xác định được bảy kho chứa độc hại, còn bao nhiêu kho chưa bị phát hiện hoặc đã tự xóa thì vẫn còn là ẩn số.

Nếu bạn đã tải xuống thì sao?

Chuyên gia an ninh khuyên rằng, nếu bạn đã sao chép Open-OSS/privacy-filter trên Windows và chạy bất kỳ tệp nào trong đó, thì coi thiết bị đó đã bị xâm nhập hoàn toàn — trước khi làm sạch, không đăng nhập vào bất kỳ dịch vụ nào từ máy đó. Sau đó, thay đổi tất cả các chứng thực lưu trữ trong trình duyệt, tạo ví mới trên thiết bị sạch, chuyển ngay tài sản tiền mã hóa. Các phiên Discord cần bị vô hiệu hóa bắt buộc và đổi mật khẩu, các khóa SSH và chứng chỉ FTP cũng nên coi là bị lộ.