Siber güvenlik araştırmacıları, popüler yapay zeka platformu Hugging Face'te en çok trend olan depolar arasında yer alan bir depoda gizlenmiş bilgi hırsızı kötü amaçlı yazılım tespit etti. AI güvenlik firması HiddenLayer, 7 Mayıs'ta Open-OSS/privacy-filter adlı depoyu kötü amaçlı olarak işaretledi. Depo, sadece 18 saat içinde 244 binden fazla indirme ve 667 beğeni alarak platformda en trend depolar arasına girmişti. HiddenLayer'e göre bu rakamlar 'neredeyse kesinlikle yapay olarak şişirilmişti' ve depoyu meşru göstermek için kullanılmıştı.
Saldırı zinciri altı aşamadan oluşuyordu. Kullanıcılar sahte depoya yönlendirildiğinde, depoyu klonlamaları ve Windows'ta start.bat, Linux/macOS'te ise python loader.py dosyasını doğrudan çalıştırmaları isteniyordu. Python betiği, base64 kodlu bir dize içeriyordu ve bu dize, Rust tabanlı bir bilgi hırsızı olan kötü amaçlı bir çalıştırılabilir dosyayı indiriyordu. Bilgi hırsızı, kurbanın güvenlik kontrollerini atlatmak için birden fazla teknik kullanıyordu: Windows API'lerini gizleyerek statik analizi engelliyor, hata ayıklayıcı ve sanal makine tespiti yapıyor, Windows AMSI ve ETW'yi devre dışı bırakarak davranışsal tespitten kaçıyordu.
Kötü amaçlı yazılım, tarayıcı şifreleri ve oturum çerezleri, Discord tokenları, kripto cüzdanları, Telegram oturumları ve daha fazlasını çalmak üzere tasarlanmıştı. HiddenLayer, sahte depoyu klonlayıp start.bat, python loader.py veya depodaki herhangi bir dosyayı çalıştıran kullanıcıların sistemlerini tamamen ele geçirilmiş olarak kabul etmeleri gerektiğini belirtti. Şirket, etkilenen cihazı silmeden önce herhangi bir hesaba giriş yapılmamasını ve tarayıcılarda, şifre yöneticilerinde veya kimlik bilgisi depolarında saklanan tüm şifrelerin, oturum çerezlerinin, OAuth tokenlarının, SSH anahtarlarının ve bulut sağlayıcı tokenlarının değiştirilmesini önerdi.
Bilgi hırsızları, siber suç ekonomisini beslemeye devam ediyor. Geçtiğimiz ay KELA verileri, yaklaşık 3.9 milyon enfekte cihazda en az 347 milyon kimlik bilgisinin bilgi hırsızları tarafından ele geçirildiğini ortaya koydu. Kullanıcıların, tarayıcı oturumlarını ele geçirilmiş olarak değerlendirmesi, kripto cüzdan fonlarını temiz bir cihazda oluşturulan yeni bir cüzdana taşıması, Discord oturumlarını geçersiz kılması ve şifrelerini sıfırlaması, ayrıca rapordaki göstergeleri engellemesi ve geçmiş bağlantıları taraması öneriliyor.