1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


hacker a segurar cubo digital

A plataforma de partilha de modelos de inteligência artificial Hugging Face foi recentemente palco de uma campanha sofisticada de distribuição de malware. Um repositório malicioso, desenhado para se fazer passar por um projeto legítimo da OpenAI, alcançou o topo da lista de tendências da plataforma, acumulando rapidamente mais de 244.000 descargas antes de ser desmantelado, segundo revelou a HiddenLayer.

O ataque recorreu à técnica de typosquatting, utilizando a designação Open-OSS/privacy-filter para imitar a ferramenta "Privacy Filter" da OpenAI. Para conferir credibilidade, os atacantes copiaram praticamente na íntegra a documentação original do projeto. No entanto, o pacote escondia um ficheiro Python (loader.py) que, sob a fachada de código inofensivo para IA, iniciava uma cadeia de infeção direcionada exclusivamente a computadores com Windows.

A mecânica silenciosa do ataque

De acordo com os investigadores da HiddenLayer, especializada na segurança de sistemas de machine learning, o guião malicioso operava de forma furtiva. O código desativava a verificação SSL e descodificava um endereço externo para descarregar uma carga útil. Esta ação desencadeava um comando PowerShell numa janela invisível, encarregue de obter um ficheiro de lote (start.bat).

O processo culminava na elevação de privilégios do sistema, na manipulação das exclusões do Microsoft Defender para evitar a deteção e na execução da ameaça final, denominada "sefirah". Esta tática reflete o grau de sofisticação que os cibercriminosos aplicam para contornar as barreiras de segurança modernas.

O alvo: dados, carteiras e credenciais

A carga final do ataque consistia num infostealer programado em Rust, altamente focado na extração de dados sensíveis dos utilizadores. O raio de ação do malware incluía:

  • Informações guardadas em navegadores baseados em Chromium e Gecko (palavras-passe, cookies, chaves de encriptação e tokens de sessão).

  • Bases de dados locais, chaves mestras e tokens da plataforma Discord.

  • Carteiras de criptomoedas e respetivas extensões de navegador, bem como chaves e frases de recuperação (seeds).

  • Ficheiros de configuração e credenciais de acessos VPN, SSH e FTP (incluindo o popular cliente FileZilla).

  • Capturas de ecrã de sistemas com múltiplos monitores e dados gerais do sistema.

Toda a informação recolhida era comprimida e enviada para um servidor remoto de comando e controlo. O malware destacava-se ainda por integrar mecanismos avançados para detetar e contornar ambientes de análise, como máquinas virtuais e sandboxes.

Apesar do elevado número de descargas, a HiddenLayer salienta que a contagem pode ter sido inflacionada de forma artificial. A grande maioria das centenas de contas que impulsionaram o repositório para a lista de tendências parecia ter sido gerada automaticamente.

A investigação a esta infraestrutura permitiu descobrir outros repositórios com o mesmo método de carregamento, além de ligações a uma campanha paralela na plataforma npm que distribuía o implante WinOS 4.0. Face à gravidade da vulnerabilidade a que os sistemas ficaram expostos, é vivamente recomendado a todos os que descarregaram o repositório que procedam à formatação limpa das máquinas afetadas, à alteração imediata de todas as credenciais e chaves de criptomoedas, e à invalidação de sessões ativas nos navegadores.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech