Kötü Amaçlı Sarılma Yüz Deposu Typosquats OpenAI Siber Güvenlik

Kötü Amaçlı Sarılma Yüz Deposu Typosquats OpenAI

Güvenlik araştırmacıları, yapay zeka tedarik zincirinin oluşturduğu tehlikelere bir başka örnek olarak, Hugging Face'in en üst düzey veri havuzlarında...

Güvenlik araştırmacıları, yapay zeka tedarik zincirinin oluşturduğu tehlikelere bir başka örnek olarak, Hugging Face'in en üst düzey veri havuzlarından birinde gizlenmiş gizli bilgi hırsızı kötü amaçlı yazılımları ortaya çıkardı.

Yapay zeka güvenlik sağlayıcısı HiddenLayer, bir blog yazısında 7 Mayıs'ta Açık OSS/gizlilik filtresini kötü amaçlı olarak tanımladığını açıkladı.

O dönemde, 18 saatten kısa sürede 244.000'den fazla indirme ve 667 beğeniyle platformda en çok tercih edilen depolardan biri olarak ortaya çıktı. Raporda, bu rakamların veri deposunun meşru görünmesi için "neredeyse kesinlikle yapay olarak şişirildiği" iddia edildi.

Nasıl Önlem Alınmalı?

HiddenLayer, reponun kendisinin OpenAI'nin meşru Gizlilik Filtresi sürümünün yazım hatasını değiştirdiğini ve model kartını neredeyse kelimesi kelimesine kopyaladığını iddia etti.

Sistem Güvenliği

Hugging Face tehditleri hakkında daha fazlasını okuyun: Hugging Face'e İlişkin Kötü Amaçlı Yapay Zeka Modelleri Yeni Saldırı Tekniğini Suistimal Ediyor.

Bu kampanyanın saldırı zinciri altı aşamaya yayıldı. Rapora göre, kullanıcı kötü amaçlı yazılım deposuna girerse repoyu kopyalaması ve start.bat (Windows) veya python loader.py'yi (Linux/macOS) doğrudan çalıştırması talimatı verilecek.

Python betiği, sonuçta kötü amaçlı bir yürütülebilir dosyayı (Rust tabanlı bir bilgi hırsızı) düşüren base64 kodlu bir dize içeriyordu.

Gelecekte Ne Bekleniyor?

Bilgi hırsızı, kurbanın güvenlik kontrollerini atlatmak için birden fazla teknik içeriyordu.

Raporda, "Statik analizi yenmek için Windows API'lerinin kullanımını gizler, hata ayıklayıcıları ve sanal alanları tespit etmek için kontroller çalıştırır, sanal bir makinede (VirtualBox, VMware, QEMU, Xen) çalıştığına dair işaretleri arar ve davranışsal tespitten kaçınmak için Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI) ve Windows için Olay İzlemeyi (ETW) devre dışı bırakmaya çalışır" diye açıkladı.

Sonuç ve Değerlendirme

Kötü amaçlı yazılım, tarayıcı şifrelerini ve oturum çerezlerini, Discord belirteçlerini, kripto cüzdanlarını, Telegram oturumlarını ve daha fazlasını çalmak için tasarlandı.

Önemli Gelişmeler

HiddenLayer, kötü amaçlı repoyu kopyalayan ve depodan start.bat, python loader.py veya başka herhangi bir dosyayı çalıştıran tüm kullanıcılara, sistemlerini tamamen tehlikeye atılmış olarak değerlendirmeleri çağrısında bulundu.

Satıcı, "Yük, kimlik bilgisi toplayan bir bilgi hırsızı olduğu için, etkilenen ana makineyi silmeden önce hiçbir şeye giriş yapmayın" diye açıkladı.

"Ana bilgisayar izole edildikten sonra, kayıtlı şifreler, oturum çerezleri, OAuth belirteçleri, SSH anahtarları, FTP kimlik bilgileri (özellikle FileZilla) ve tüm bulut sağlayıcı belirteçleri dahil olmak üzere, o makinedeki tarayıcılarda, parola yöneticilerinde veya kimlik bilgisi depolarında depolanan tüm kimlik bilgilerini döndürün."

Detaylar ve Etkileri

Çalınan oturum çerezleri tehdit aktörlerinin MFA'yı atlamasına yardımcı olabileceğinden, kullanıcılar, şifre kaydedilmemiş olsa bile tarayıcı oturumlarını tehlikeye atılmış olarak değerlendirmelidir. Ayrıca:

Herhangi bir kripto para cüzdanı fonunu temiz bir cihazda oluşturulan yeni bir cüzdana taşıyın ve çekirdek ifadelerin, anahtar depolarının ve cüzdan uzantısı verilerinin çalınmış olabileceğini varsayın

Teknik Analiz

Belirteçler ve ana anahtarlar açıkça hedeflendiğinden Discord oturumlarını geçersiz kılın ve Discord şifrelerini sıfırlayın

Çıkışta rapordaki IOC'leri engelleyin ve etkilenen diğer ana bilgisayarları belirlemek için bağlantıları tarihsel olarak araştırın

Uzmanların Görüşleri

Bilgi hırsızları gelişen bir siber suç ekonomisini beslemeye devam ediyor. Geçen ay KELA'dan alınan veriler, en az 347 milyon kimlik bilgilerinin, yaklaşık 3,9 milyon virüslü makinede bulunan bilgi hırsızları tarafından elde edildiğini ortaya çıkardı.

Görsel kaynak: sdx15 / Shutterstock.com

Paylaş: