Un attacco sofisticato mina la fiducia nei registry pubblici di LLM

Una recente indagine condotta dalla società di sicurezza AI HiddenLayer ha portato alla luce un incidente significativo che solleva preoccupazioni sulla sicurezza della supply chain nel mondo dell'intelligenza artificiale. Un repository malevolo su Hugging Face, denominato 'Open-OSS/privacy-filter', si è spacciato per un rilascio ufficiale di OpenAI, riuscendo a distribuire un malware di tipo infostealer a numerose macchine Windows. Prima della sua rimozione, il repository ha registrato circa 244.000 download, sebbene HiddenLayer suggerisca che questo numero potrebbe essere stato gonfiato artificialmente dagli attaccanti per simularne una maggiore popolarità. L'attacco ha sfruttato la fiducia degli sviluppatori e dei data scientist che spesso clonano modelli direttamente in ambienti aziendali, esponendo così infrastrutture critiche a rischi inaspettati.

L'incidente sottolinea una vulnerabilità emergente: i registry pubblici di modelli AI, pur essendo risorse preziose per l'innovazione e la collaborazione, possono trasformarsi in vettori per attacchi alla supply chain del software. Per le organizzazioni che adottano strategie di deployment on-premise o self-hosted, la clonazione di modelli da fonti esterne richiede una vigilanza estrema, poiché questi ambienti spesso detengono accesso a codice sorgente, credenziali cloud e sistemi interni sensibili. La compromissione di un repository di modelli in questo contesto va ben oltre un semplice inconveniente, minacciando la sovranità dei dati e l'integrità dell'intera infrastruttura.

Dettagli tecnici dell'infezione e persistenza

L'attacco si è basato su una replica quasi perfetta della model card originale di OpenAI, con l'aggiunta di un file loader.py malevolo. Questo script, inizialmente mascherato da codice di caricamento di un modello AI legittimo, avviava rapidamente una catena di infezione nascosta. Il processo prevedeva la disabilitazione della verifica SSL, la decodifica di un URL codificato in base64 collegato a jsonkeeper.com (utilizzato come canale di comando e controllo per ruotare il payload senza alterare il contenuto del repository) e l'esecuzione di comandi tramite PowerShell sulle macchine Windows.

Il comando PowerShell scaricava poi un ulteriore file batch da un dominio controllato dagli attaccanti. Per garantire la persistenza sul sistema, il malware creava un'attività pianificata che imitava un processo legittimo di aggiornamento di Microsoft Edge. Il payload finale era un infostealer basato su Rust, progettato per colpire dati sensibili: browser derivati da Chromium e Firefox, storage locale di Discord, portafogli di criptovalute, configurazioni di FileZilla e informazioni di sistema dell'host. Il malware tentava anche di disabilitare l'Antimalware Scan Interface (AMSI) e l'Event Tracing di Windows, rendendo più difficile il rilevamento e l'analisi forense.

Implicazioni per la sicurezza della supply chain AI

Questo episodio non è isolato. HiddenLayer ha identificato altri sei repository su Hugging Face con logiche di caricamento quasi identiche e infrastrutture condivise con l'attacco descritto. Questi casi si aggiungono a precedenti avvertimenti su modelli AI malevoli, inclusi SDK AI compromessi e falsi installer, evidenziando un trend preoccupante: gli attaccanti stanno sfruttando i workflow di sviluppo AI come porta d'accesso a ambienti normalmente sicuri. I repository AI spesso contengono codice eseguibile, istruzioni di setup, file di dipendenza, notebook e script – sono proprio questi elementi periferici, più che i modelli stessi, a rappresentare il punto debole.

Gli esperti di sicurezza sottolineano come le tradizionali soluzioni di Software Composition Analysis (SCA), progettate per ispezionare manifest di dipendenze, librerie e immagini container, siano meno efficaci nell'identificare logiche di caricamento malevole all'interno dei repository AI. Per le aziende che considerano il deployment di LLM on-premise, la necessità di una visibilità approfondita su ogni componente della pipeline AI è cruciale. La gestione del TCO in questi contesti deve includere investimenti in strumenti e processi che vadano oltre la scansione superficiale, garantendo che ogni artefatto AI sia verificato per la sua integrità e provenienza.

Mitigazione e prospettive future

HiddenLayer ha fornito chiare raccomandazioni per chiunque abbia clonato 'Open-OSS/privacy-filter' ed eseguito start.bat, python loader.py o qualsiasi altro file dal repository su un host Windows: il sistema deve essere considerato compromesso e si raccomanda una re-imaging completa. Le sessioni del browser dovrebbero essere considerate compromesse anche se le password non sono memorizzate localmente, poiché i cookie di sessione possono consentire agli attaccanti di bypassare l'autenticazione a più fattori (MFA) in determinate circostanze. Hugging Face ha confermato la rimozione del repository in questione.

In un contesto più ampio, il report FutureScape di IDC di novembre 2025 suggerisce che entro il 2027, il 60% dei sistemi AI agentici dovrebbe disporre di una "bill of materials" (SBOM). Questo strumento aiuterebbe le aziende a tracciare gli artefatti AI utilizzati, la loro origine, le versioni approvate e la presenza di componenti eseguibili. L'adozione di SBOM è fondamentale per migliorare la trasparenza e la sicurezza nella supply chain AI, un aspetto critico per chiunque gestisca infrastrutture complesse e valuti soluzioni di AI self-hosted, dove il controllo e la sovranità dei dati sono priorità assolute. Per chi valuta deployment on-premise, AI-RADAR offre framework analitici su /llm-onpremise per valutare i trade-off tra sicurezza, controllo e TCO.