Б.Сайнбаяр
Багш
Хэн нэгэн надад "AI загваруудын платформ дээр хорлонт код тарааж болно" гэж хэлсэн бол жилийн өмнө би магадгүй инээж орхих байсан. Одоо харин тийм биш.
Саяхан Hugging Face дээр маш муухай зүйл болсон. Нэр нь хуурмаг, агуулга нь хорлонтой нэг repository ердөө 18 цагийн дотор платформын #1 trending байранд гарч, 244,000 удаа татагдсан. Хамгийн гайхалтай нь олон хүн үүнийг жинхэнэ OpenAI-н файл гэж бодоод татаж авсан байна.
Саяхан Hugging Face дээр маш муухай зүйл болсон. Нэр нь хуурмаг хэрэглэгчдэд хорлонтой нэг repository ердөө 18 цагийн дотор платформын #1 trending байранд гарч, 244,000 удаа татагдсан. Хамгийн гайхалтай нь олон хүн үүнийг жинхэнэ OpenAI-н файл гэж бодоод татаж авсан байна.
Яаж ийм зүйл болов?
OpenAI өнгөрсөн 4-р сард Privacy Filter гэдэг загвараа гаргасан. Энэ нь текст дотроос хүний нэр, утасны дугаар, имэйл гэх мэт хувийн мэдээллийг автоматаар илрүүлж, нуун дарагдуулдаг хэрэгсэл developer-уудад их хэрэгтэй зүйл. Мэдээж олон хүн сонирхоно.
Жинхэнэ repository нь openai/privacy-filter гэсэн хаягтай.
Хуурамч нь Open-OSS/privacy-filter.
Ялгаа нь зөвхөн нэр дээр байгаа openai биш Open-OSS. Тэгэхээр нэрний ялгааг анзааралгүй ойртуулдаг эсвэл хурдан скролдоод өнгөрдөг бол маш амархан андуурна. Асуудал нь хуурамч хувилбар нь жинхэнэ загварын README, тайлбар, бүх текстийг үгчлэн хуулчихсан байсан тул нэрний ялгааг олчихсон ч "Загвар нь ижил байгаа юм чинь зөв байгаа биз" гэж бодуулдаг.
Энэ аргыг typosquatting гэж нэрлэдэг. Адилхан нэртэй мэт төөрөгдүүлдэг арга.
Судлаачид нэг зүйлийг онцлон тэмдэглэсэн: тэр 244,000 татаалт болон 667 like-ийг хуурамчаар нэмэгдүүлсэн байж магадгүй гэж.
Энэ нь тийм ч гэнэтийн зүйл биш. Хүн болгон "энэ тийм олноор татагдчихсан бол найдвартай байх" гэж бодно.
Бид яг тэгж боддог бусдын сонголтыг баримт болгодог. Маркетингчид үүнийг social proof гэж нэрлэдэг. Хакерууд үүнийг зэвсэг болгодог.
Нэгэн хэрэглэгчид "дэлхийн хамгийн том AI компанийн шинэ загварыг 200 мянган хүн татсан" гэж харуулахад тэр хүн татахаас татгалзах байсан уу? Үгүй л болов уу.
Энд л жинхэнэ аймшигтай хэсэг эхэлнэ.
Repository нь хэрэглэгчдэд тохиргоо хийхийн тулд нэг файл ажиллуул гэж хэлдэг Windows-т start.bat, Linux/Mac-т loader.py. Загвар суулгахад ийм зүйл хийх нь маш нийтлэг тул хэн ч сэжиглэдэггүй.
loader.py ажиллахад:
Эхний алхамд SSL verification-ийг чимээгүйхнээр унтрааж, дараа нь JSON Keeper гэдэг сайт дээр нуусан Base64 encoded URL-аас тушаал уншиж, PowerShell рүү дамжуулна. JSON Keeper ашигласан шалтгаан нь URL-аа хэдийд ч өөрчилж болно, repository-г дахин засахгүйгээр. Скрипт нь удирдлага дамжуулагч юм уу зохицуулагчийн үүрэг гүйцэтгэж байгаа гэсэн үг.
PowerShell ажиллаад алслагдсан серверээс дараагийн script татна. Энэ удаагийн script нь аль хэдийн бага зэрэг нүүр гаргаад ирж байна UAC prompt гаргаж эрх авна, Windows Defender-ийн exclusion тохируулна, дараагийн файлаа татна, scheduled task үүсгэнэ.
Тэр scheduled task ажилласны дараа malware хоёр секунд хүлээгээд өөрийгөө устгадаг. Ул мөр үлдэхгүй.
Хамгийн сүүлийн үе шатанд Rust хэлээр бичигдсэн infostealer ажиллана. Юу хулгайлдаг вэ?
Discord дансны мэдээлэл
Crypto wallet болон browser extension
Chrome, Firefox зэрэг хөтөч дээрх нууц үг, cookie, session
FileZilla config болон wallet seed phrase
Дэлгэцийн screenshot
Компьютерийн системийн мэдээлэл
Бүх зүйлийг JSON хэлбэрт оруулаад хакерын серверт явуулна. Нэг л удаа ажиллаад бараг ул мөргүй алга болно.
HiddenLayer-ийн судлаачид Privacy Filter-ийг илрүүлснийхээ дараа нарийвчлан шинжлэхэд дахиад зургаан repository илэрсэн бүгд ижил Python loader-тэй:
anthfu/DeepSeek-V4-Pro, anthfu/Qwen3.6-35B-..., anthfu/supergemma4-26b-uncensored-gguf-v2 гэх мэт.
Бүгд AI хөгжүүлэгчдийн сайн мэдэх нэр агуулсан DeepSeek, Qwen, Gemma.
Тэгэхээр энэ нь нэг санамсаргүй оролдлого биш. Зохион байгуулалттай, олон зорилтод чиглэсэн кампанит ажил байжээ.
Судалгааны явцад нэг сонирхолтой зүйл гарч ирсэн. Хортой код ашигласан серверийн хаяг нь өмнө нь ValleyRAT (Winos 4.0 гэж бас нэрлэгддэг) тараасан компанит ажилд ашиглагдаж байсан хаягтай давхцаж байсан юм.
ValleyRAT нь Silver Fox хэмээх Хятадын hacker бүлгийн хэрэгсэл гэдгээрээ танигдсан. Тус бүлэг ихэвчлэн phishing имэйл эсвэл хайлтын системийн үр дүнг хордуулах замаар нэвтэрдэг. Өмнөх тохиолдлуудад npm package trevlo-г ашиглан мөн адил дэд бүтцэд холбогдсон байсан нь нотлогдсон байна.
HiddenLayer "эдгээр кампанит ажлууд холбоотой бөгөөд нээлттэй эхийн экосистемийг чиглэсэн нийтлэг supply chain операцийн нэг хэсэг байж болзошгүй" гэж дүгнэсэн.
Hugging Face, GitHub, npm, PyPI бүгд "Олон хүн итгэж ашигладаг" учраас хакеруудын хувьд Нарантуул болж байна.
Хөгжүүлэгч хүн өдөр бүр олон арван package, загвар ашигладаг. Тэр бүрийг дараалан шалгаж сууна гэдэг бараг л боломжгүй. Тиймээс бид "Олон хүн ашигладаг арга" ашиглаж байгаа учраас аюулгүй гэж бодоод итгэдэг. Хакерууд яг үүнийг л хүлээж байдаг.
AI технологийн хурдацтай өсөлт нь "Шинийг хурдан туршицгаая" гэсэн соёлыг бий болгосон. Гэвч хурдасч яарах тусам болгоомжлол буурна.
Жишээ нь:
Хувийн компьютер дээрээ ашиглах боломжтой шинэ AI загвар гарах тусам хөгжүүлэгч, AI сонирхогч бид "Гандангийн гадаа байгаа тагтаа" мэт л шуурдаг. Яг үүнийг хакерууд хүлээж байдаг.
Маш хялбар хэдэн зүйлс:
Repository татахаасаа өмнө нэрийг давхар нягтлаарай. openai/... болон Open-OSS/... ялгаатай. Нэр дээр дарж, байгууллагын verified тэмдэглэгээ байгаа эсэхийг хараарай.
Таталтын тоо, like-ийн тоо аюулгүйн баталгаа биш. Тэр тоог хуурамчаар нэмж болно (instagram дагагч нэмж байгаа мэт л), хэдхэн доллароор хэдэн мянган bot ажиллуулж болно.
Мэдэхгүй газраас ирсэн .bat, .py, .sh файлуудыг нээгээд уншаарай. Нэг минут зарцуулна, магадгүй бүхэл бүтэн системээ хамгаалж болно.
Туршилтын зорилгоор татаж буй бол виртуал машин ашигла. Хортой кодын ихэнх нь VM дотор байгаагаа мэдээд ажилдаггүй гэнэ шүү. Тиймээс VM нь хамгийн хямд хамгаалалт юм.
Энэ бүхний дараа хамгийн гунигтай нь юу вэ гэвэл — Hugging Face тэр repository-г 18 цагийн дараа блоклосон. Гэхдээ тэр 244,000 татаалт 18 цагийн дотор болсон. Үүдийг нь хаагаагүйгээс болоод хэдэн хонь хашаанаас гарсан бол...
Ийм л дэлхийд амьдарч байна.
Нийтлэлд дурдсан хортой домэйн нэрүүд мэдээллийн зорилгоор бичигдсэн тул нэвтэрч орохгүй байх нь зүйтэй.