Hugging Face Üzerinde Kullanıcı Verilerini Çalan Kötü Amaçlı Yazılım
Hugging Face platformunda OpenAI’nin “Privacy Filter” projesini taklit eden kötü niyetli bir depo, Windows kullanıcılarına bilgi çalan bir yazılım dağıttı. Bu olay, siber güvenlikte dikkat edilmesi gereken yeni bir tehdidi gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli depo, OpenAI’nın gerçek “Privacy Filter” sürümünü taklit ederek, kullanıcıları kandırmak için benzer bir yapı oluşturdu. HiddenLayer şirketinin araştırmacıları, 7 Mayıs’ta Open-OSS/privacy-filter adında bu kötü niyetli depoyu keşfettiler. Depo, loader.py adında bir dosya içeriyordu ve bu dosya bilgi çalan bir yazılımı çalıştırmak için tasarlanmıştı.
loader.py dosyası, görünüşte zararsız olan yapay zeka ile ilgili sahte kodları içeriyor. Ama arka planda SSL doğrulamasını devre dışı bıraktı, bir base64 URL’sini çözdü ve müsaade eden bir PowerShell komutunu içeren bir JSON yüklemesi aldı. Bu komut, görünmez bir pencerede çalışarak bir batch dosyası (start.bat) indirip çalıştırıyor.
Etkilenen Sistemler
Sonuç olarak, bu saldırı şu hassas verileri hedef alıyor:
- Chromium ve Gecko tabanlı tarayıcıların verileri (örn. çerezler, kaydedilmiş şifreler, şifreleme anahtarları, gezinme verileri, oturum token’ları)
- Discord token’ları, yerel veritabanları ve anahtarlar
- Kripto para cüzdanları ve uzantıları
- SSH, FTP ve VPN kimlik bilgileri, yapılandırma dosyaları (örn. FileZilla)
- Alerji verileri ve cüzdan anahtarları
- Sistem bilgileri
- Çoklu ekran görüntüleri
Çalınan veriler, recargapopular[.]com adresindeki bir komut ve kontrol (C2) sunucusuna sıkıştırılarak gönderilmektedir.
Çözüm ve Korunma
HiddenLayer, malware’nin kapsamlı anti-analiz özelliklerine sahip olduğunu da vurguluyor. Bu özellikler, sanal makineler, sandbox’lar ve hata ayıklama araçları için kontroller içeriyor ve analiz sistemlerinden kaçmayı amaçlıyor.
Kötü niyetli depo ile etkileşime geçen kullanıcıların, aşağıdaki adımları izlemeleri önerilmektedir:
- Bilgisayarınızı yeniden formatlayın.
- Tüm kayıtlı kimlik bilgilerini değiştirin.
- Kripto para cüzdanlarını ve tohum ifadelerini değiştirin.
- Tarayıcı oturumlarını ve token’ları geçersiz kılın.
Siber güvenlik alanında geçmişte de Hugging Face’in kötü amaçlı modelleri barındırdığı göz önünde bulundurulursa, kullanıcıların bu tür platformlarda dikkatli olmaları büyük önem taşımaktadır.
