Hugging Face의 가짜 OpenAI 리포지토리, 24.4만 건의 다운로드를 통해 데이터 탈취

Hugging Face AI 플랫폼에서 OpenAI의 프라이버시 도구를 사칭한 사기성 리포지토리가 18시간 만에 24.4만 건의 다운로드를 기록하며, 개발자 인증 정보와 암호화폐 지갑을 탈취하는 정보 절취형 악성코드를 유포했습니다.

해당 캠페인을 발견한 AI 보안 업체 히든레이어(HiddenLayer)는 보고서를 통해 "이 리포지토리는 OpenAI의 공식 Privacy Filter 릴리스를 타이포스쿼팅(typosquatting)했으며, 모델 카드를 거의 그대로 복사했다"고 밝혔습니다.

Open-OSS/privacy-filter라는 이름의 이 가짜 리포지토리는 수백 개의 자동화된 봇 계정을 사용해 '좋아요' 수를 667개로 부풀려 트렌드 1위에 올랐습니다. 포함된 loader.py 스크립트는 6단계 공격을 시작하여, 최종적으로 브라우저 비밀번호, 디스코드 토큰, SSH 키를 수집하는 Rust 기반의 정보 절취기를 설치했습니다.

이번 사건은 공격자가 오픈 소스 플랫폼의 신뢰 기반 특성을 악용할 수 있는 AI 공급망의 치명적인 취약성을 여실히 보여줍니다. 인기 모델을 사칭하고 사회적 증거를 조작함으로써 개발자 커뮤니티 자체를 악성코드 유포 네트워크로 전환할 수 있으며, 이는 기업 및 개인 프로젝트 깊숙이 보안 위험을 심어놓을 위협이 됩니다.

악성코드 작동 방식

이번 공격은 은폐와 효율성을 위해 설계된 다단계 프로세스로 진행되었습니다. 사용자가 초기 파이썬 스크립트를 실행하면 사용자에게는 아무런 징후가 보이지 않는 상태에서 일련의 작업이 수행됩니다. 스크립트는 먼저 정상적인 프로그램처럼 보이기 위해 가짜 모델 로딩 출력을 표시하는 동시에 배경에서 보안 검사를 비활성화합니다.

그 다음, 공격자가 리포지토리 자체를 수정하지 않고도 페이로드를 업데이트할 수 있도록 공개 JSON 게시 사이트에서 인코딩된 명령을 가져옵니다. 이 명령은 파워셸(PowerShell)로 전달되어 블록체인 분석 서비스를 흉내 낸 api.eth-fastscan.org 도메인에서 두 번째 스크립트를 다운로드합니다. 이 두 번째 스크립트가 최종 페이로드인 Rust로 작성된 커스텀 정보 절취기를 다운로드합니다. 탐지를 피하기 위해 악성코드는 실행 전 자신을 윈도우 디펜더(Windows Defender) 예외 목록에 추가하고, 실행 직후 스스로 삭제되는 예약된 작업을 통해 높은 권한으로 실행되었습니다.

정보 절취기는 매우 철저하게 설계되었습니다. 크롬과 파이어폭스 브라우저에서 저장된 비밀번호, 세션 쿠키, 암호화 키를 탈취했습니다. 또한 디스코드 토큰, 암호화폐 지갑 시드 구문, SSH 키, FTP 인증 정보를 표적으로 삼아 탈취된 데이터를 압축된 JSON 파일로 패키징하여 공격자가 제어하는 서버로 전송했습니다.

조직적인 캠페인

이는 단발성 사건이 아니었습니다. 히든레이어 연구원들은 "anthfu"라는 별도의 Hugging Face 계정이 업로드한 최소 6개의 다른 악성 리포지토리를 확인했습니다. 이 리포지토리들은 Qwen3, DeepSeek, Bonsai 등 다른 인기 AI 모델을 사칭했으며, 동일한 명령 제어(C2) 인프라를 가리키는 동일한 악성 로더 스크립트를 사용했습니다.

이번 캠페인은 AI 개발자 커뮤니티를 대상으로 한 공급망 공격의 명확한 수법을 보여줍니다. 플랫폼을 직접 해킹하는 대신, 설득력 있는 모방판을 게시하고 봇을 이용해 트렌드 알고리즘을 조작한 뒤 의심하지 않는 개발자들이 악성코드를 다운로드하기를 기다리는 방식입니다.

만약 Open-OSS/privacy-filter 리포지토리를 클론하고 윈도우 환경에서 파일을 실행했다면, 보안 전문가들은 해당 기기가 완전히 침해된 것으로 간주할 것을 권고합니다. 브라우저에 저장된 모든 인증 정보를 변경하고, 암호화폐 자산을 새 지갑으로 옮기며, 모든 SSH 또는 FTP 키를 도난당한 것으로 간주하여 즉시 교체해야 합니다.

이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.