AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Repositorio malicioso en Hugging Face suplanta modelo de OpenAI y distribuye infostealer en Rust

admin

Introducción

Durante la última semana, la plataforma Hugging Face se ha visto envuelta en un incidente de seguridad significativo que pone de manifiesto los riesgos inherentes al uso de repositorios públicos de modelos de inteligencia artificial (IA). Un actor malicioso logró posicionar un repositorio fraudulento en la lista de proyectos en tendencia, suplantando un modelo open-weight legítimo de OpenAI para distribuir un infostealer escrito en Rust dirigido a sistemas Windows. Este incidente, que afecta tanto a usuarios individuales como a organizaciones, resalta la necesidad de reforzar los controles de seguridad en repositorios de IA de código abierto.

Contexto del Incidente o Vulnerabilidad

El proyecto en cuestión, denominado Open-OSS/privacy-filter, replicó de manera casi idéntica la descripción y los metadatos del modelo original de OpenAI (openai/privacy-filter), publicado oficialmente a finales de mayo de 2024. El repositorio fraudulento llegó a obtener visibilidad privilegiada al aparecer en la sección de trending projects de Hugging Face, lo que aumentó exponencialmente su exposición y la probabilidad de ser clonado o ejecutado por usuarios desprevenidos.

La suplantación pasó inadvertida durante varios días, lo que permitió que el código malicioso fuera descargado y ejecutado en múltiples entornos. El vector de ataque principal consistía en la inclusión de un binario Rust camuflado dentro de los archivos del modelo, que al ser ejecutado en entornos Windows, desplegaba un infostealer con funcionalidad avanzada de exfiltración de credenciales y datos sensibles.

Detalles Técnicos

El infostealer distribuido a través del repositorio falso presenta capacidades típicas de las amenazas modernas dirigidas a la exfiltración de información. El código malicioso, desarrollado en Rust, aprovecha la portabilidad y eficiencia del lenguaje para evadir mecanismos tradicionales de detección, especialmente aquellos que se basan en firmas y análisis estático.

– CVE asociado: Aunque el incidente no está vinculado a una vulnerabilidad específica (no se ha asignado CVE), la amenaza se basa en la suplantación de identidad y en la cadena de suministro de software.
– Vectores de ataque: El vector principal es la descarga y ejecución del modelo falso por parte de administradores de sistemas, analistas de datos o investigadores que confían en la procedencia del repositorio.
– TTP MITRE ATT&CK:
– T1078 (Valid Accounts): Aprovechamiento de la confianza en cuentas legítimas/nombradas.
– T1566 (Phishing): Suplantación mediante ingeniería social en la plataforma.
– T1059 (Command and Scripting Interpreter): Ejecución de binarios maliciosos.
– Indicadores de Compromiso (IoC):
– Hash SHA256 del binario Rust malicioso (ejemplo): 89f8b0a1ab4d… (ver feeds de amenazas actualizados).
– Nombre del archivo: privacy_filter_win.exe.
– Comunicación C2: Conexiones salientes a dominios de reciente creación con TLDs poco habituales.

El infostealer implementa técnicas de evasión, como empaquetado y ofuscación, y realiza tareas de recolección de credenciales de navegadores, carteras de criptomonedas y archivos sensibles antes de transmitirlos al servidor de comando y control (C2) mediante canales cifrados.

Impacto y Riesgos

La popularidad de Hugging Face en la comunidad de IA, junto con la creciente tendencia de utilizar modelos preentrenados sin validación exhaustiva, incrementa considerablemente el impacto potencial de este ataque. Según los registros públicos, el repositorio fraudulento fue clonado más de 1.500 veces antes de su retirada. El alcance real podría ser superior, dado que la descarga directa y la compartición interna en organizaciones no siempre quedan reflejadas en las estadísticas públicas.

Las principales consecuencias incluyen:

– Exfiltración de credenciales corporativas y personales.
– Robo de datos de investigación, propiedad intelectual y configuraciones críticas.
– Riesgo elevado de ataques posteriores (lateral movement, ransomware).
– Posible incumplimiento de normativas como GDPR o NIS2, con sanciones económicas significativas (hasta 4% de la facturación anual en el caso del GDPR).

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo derivado de este tipo de incidentes, los equipos de ciberseguridad deben aplicar las siguientes medidas:

– Validar siempre la procedencia de los repositorios y modelos descargados, comprobando la legitimidad del autor y el historial de cambios.
– Implementar análisis automatizados de código (SAST) y sandboxing de binarios antes de su despliegue.
– Mantener actualizadas las bases de datos de IoC y bloquear hashes/dominios relacionados.
– Sensibilizar a los equipos de IA, DevOps y científicos de datos sobre los riesgos de la cadena de suministro.
– Adoptar políticas de Zero Trust para la ejecución de artefactos externos.
– Monitorizar logs de acceso y comportamiento inusual en endpoints asociados a proyectos de IA.

Opinión de Expertos

Según declaraciones de analistas del sector, la sofisticación del ataque evidencia una evolución en las técnicas de Supply Chain Attack, tradicionalmente asociadas a librerías de software, pero que ahora se extienden a repositorios de modelos de IA. “El hecho de que el atacante haya utilizado Rust y replicado la identidad visual del modelo de OpenAI indica un conocimiento profundo del ecosistema y de los vectores de confianza de la comunidad”, señala un CISO de una multinacional tecnológica. Además, expertos del ámbito forense destacan la dificultad de detectar este tipo de amenazas mediante herramientas convencionales, recomendando la integración de soluciones de EDR y Threat Intelligence en los flujos de trabajo de IA.

Implicaciones para Empresas y Usuarios

El incidente pone en evidencia la necesidad de reforzar los controles de seguridad en la gestión de artefactos de IA. Las empresas que operan en sectores regulados pueden enfrentarse a auditorías y sanciones si se demuestra la filtración de datos sensibles a través de modelos maliciosos. Por su parte, los usuarios individuales pueden ver comprometidas sus credenciales personales y activos digitales, facilitando el despliegue de ataques a mayor escala.

Conclusiones

El ataque al repositorio de Hugging Face marca un nuevo hito en la evolución de las amenazas a la cadena de suministro en entornos de IA. La combinación de suplantación de identidad, ingeniería social y despliegue de malware avanzado subraya la urgencia de adoptar prácticas de seguridad robustas, tanto a nivel organizativo como individual. La colaboración entre plataformas, investigadores y equipos de ciberseguridad será clave para anticipar y mitigar riesgos en este nuevo escenario.

(Fuente: feeds.feedburner.com)