2026年5月7日、HiddenLayer Research Teamは、Hugging Face上で公開されていた悪意あるリポジトリ「Open-OSS/privacy-filter」を発見し、報告しました。このリポジトリはOpenAIが2026年4月に公開した正規プロジェクト「openai/privacy-filter」をタイポスクワッティングし、model card記述をほぼ一字一句コピーすることで、利用者を騙してWindows端末上にRust製のインフォスティーラー「Sefirah」を実行させる構造になっていました。Hugging Faceチームへの通報を経て、本稿執筆時点でリポジトリへのアクセスは無効化されています。
本件で特筆すべき点は、無効化される前のわずか18時間以内に、約244,000ダウンロードおよび667likesを獲得し、Hugging Faceのトレンドランキングで第1位に到達していた点です。HiddenLayerによれば、これらの数値の大部分は自動生成されたアカウントによる水増しと見られていますが、トレンド表示によって正規ユーザーの目に触れる機会が増幅されたことは間違いありません。本記事では、攻撃キャンペーンの全体像、攻撃チェーンの技術詳細、関連リポジトリ群との接続関係、そしてAIプラットフォームを介したサプライチェーン攻撃シリーズの中での位置づけを整理します。
事案の概要
OpenAIは2026年4月、PII(個人識別情報)を非構造化テキストから検出・編集するためのオープンウェイトモデル「Privacy Filter」(リポジトリ名:openai/privacy-filter)をHugging Face上で公開しました。これはアプリケーションへのプライバシー・セキュリティ保護機能の組み込みを目的としたツールで、Apache 2.0ライセンスかつ1.5Bパラメータ(アクティブ50Mパラメータ)と扱いやすい規模であったことから、多くの開発者・研究者が利用を検討していたと考えられます。
攻撃者はこの正規プロジェクトの公開直後、別のアカウント(Open-OSS)から類似の名前空間で「Open-OSS/privacy-filter」というリポジトリを公開しました。HiddenLayerの解析によれば、攻撃者はOpenAI公式のmodel card記述をほぼ全文コピーし、PDFリンクまで正規物を参照する形で、正当性を装っていました。READMEで唯一相違していたのは、利用者に対して「リポジトリをクローンしてWindowsではstart.batを、Linux/macOSではpython loader.pyを実行するよう指示」する部分です。正規のOpenAIプロジェクトはモデルロードのために特定のスクリプトを直接実行するよう指示していないため、ここが攻撃成立の入口になっていました。
HiddenLayerが発見した時点で、リポジトリは18時間以内に約244,000ダウンロードおよび667likesを獲得し、Hugging Faceのトレンドランキング第1位に到達していました。667likesを付与したアカウントの大半は、auto-generatedと推測される予測可能な命名パターン(連番や類似のサフィックスを持つアカウント名)を示しており、ダウンロード数および likes数の多くが自動化された人工的活動による水増しと評価されています。Rescanaの整理では、攻撃者はソーシャルメディアやSEO操作も併用し、OpenAI関連ツールを探す利用者に悪意あるリポジトリが目に触れやすい状態を作っていた可能性が指摘されています。ただし、この点はHiddenLayerの主解析ではなく、二次的な分析として扱うのが適切です。
攻撃チェーンの技術詳細
HiddenLayerの解析によれば、本キャンペーンの攻撃チェーンは以下のステージで構成されています。
第1段階は、利用者によるリポジトリの自発的クローンおよびスクリプト実行です。利用者がstart.batまたはpython loader.pyを実行すると、表面上はAI関連のダミーコード(DummyModelクラス、合成データセット、フェイクの学習出力)が動作し、正規のローダーが動作しているように見せかけます。これは静的解析者の目を欺くための偽装で、実際の悪意ある処理は_verify_checksum_integrity()という関数名に隠蔽された別ルートで実行されます。
第2段階は、ペイロード取得とPowerShell実行です。_verify_checksum_integrity()関数は、SSL検証を無効化したうえで、base64エンコードされたURL(jsonkeeper[.]com/b/AVNNE)をデコードし、そこからJSON文書を取得してcmdフィールドを抽出します。抽出されたコマンドはPowerShellに渡されて実行されます。すべての処理はbare exceptで囲まれているため、失敗時もエラーを出さず静かに完了します。jsonkeeper.comはパブリックなJSONペーストサービスで、攻撃者はリポジトリ本体を変更することなく、jsonkeeper上のペイロードを差し替えることで配布マルウェアをリアルタイムに切り替えることが可能です。これは「dead drop resolver」と呼ばれる手法です。
第3段階は、Windowsスケジュールタスクを用いた高権限でのワンショット実行です。HiddenLayerによれば、取得されたupdate.batは管理者権限チェックと自己昇格を試みたうえで、runner scriptを生成し、Edge updater風のタスク名を持つスケジュールタスクを作成して即時実行します。その後、タスクは約2秒後に削除されるため、再起動後の永続化ではなく、SYSTEMコンテキストで一度だけ実行するランチャーとして機能する設計です。
第4段階は、最終ペイロードであるRust製infostealerの実行です。HiddenLayerおよびBleepingComputerによれば、このinfostealerは「Sefirah」と呼ばれており、以下のデータを窃取対象としています。
- Chromium系およびGecko系ブラウザのCookie、保存パスワード、暗号化鍵、閲覧データ、セッショントークン
- Discordのトークンおよびデータ
- 暗号資産ウォレットおよびウォレット拡張機能、seed phrases
- システムメタデータ、FileZilla設定ファイル等
- スクリーンショット
窃取されたデータはJSON形式に圧縮され、C2サーバーrecargapopular[.]comへ送信されます。Sefirah自体は拡張された解析回避機能を備えており、Virtual MachineやSandbox、Debuggerの検出、Windows Antimalware Scan Interface(AMSI)およびEvent Tracing for Windows(ETW)の無効化試行などを通じて、振る舞い検知の回避を狙っています。
関連リポジトリ群と攻撃インフラの広がり
HiddenLayerは、Hugging Faceのテレメトリ解析を通じて、本キャンペーンに関連するさらなる悪意あるリポジトリ群を特定しました。具体的には、「anthfu」というアカウント配下の6つのリポジトリ(いずれも2026年4月24日アップロード)が、同様のloader.pyファイルを持ち、コマンド取得URL(jsonkeeper[.]com/b/AVNNE)が完全に一致していたとされます。Open-OSSとanthfuの両方が共通の攻撃インフラを利用していたことから、HiddenLayerはこれらを単一の脅威アクターまたは協調する攻撃キャンペーンとして扱っています。
さらに、別のドメインapi[.]eth-fastscan[.]orgが、Windows実行ファイル「o0q2l47f.exe」を配信しており、最終的にwelovechinatown[.]infoというC2サーバーへビーコンを送出していたことも判明しています。このwelovechinatown[.]infoは、Pantherが2026年4月に報告した別のキャンペーン——悪意あるnpmパッケージtrevloを介してWinos4.0インプラントを配信していたキャンペーン——のC2インフラと一致しています。The Hacker Newsは、このWinos4.0をValleyRAT系として整理しています。HiddenLayerは「共有された攻撃インフラから、これらのキャンペーンは関連しており、オープンソースエコシステム全体を標的とするより広範なサプライチェーン作戦の一部である可能性が高い」と評価しています。
AIブランド悪用シリーズの中での位置づけ
本件は、TKC Tech Labで継続追跡しているAIブランド悪用シリーズの最新事例として位置付けられます。AI関連の知名度の高いブランド(OpenAI、Anthropic、Claude等)の名前を悪用して開発者に不正コードを実行させる手口は、ここ数か月で系列化しています。記事#25 Claude Chrome拡張「ShadowPrompt」(2026年3月)、記事#38 ClickFix偽Claudeインストーラー(2026年4月)と続き、本件が「偽OpenAI Privacy Filter(2026年5月)」となります。
シリーズ全体に共通する構造は、(1)AI関連の話題性のある製品リリース直後を狙う、(2)正規ブランドの記述・UIをほぼ完全にコピーする、(3)正規利用者の検索意図にSEO・ソーシャル両面で介入する、(4)最終ペイロードはinfostealerやRATで、開発者の認証情報や暗号資産を狙う、という点です。とりわけ「開発者・AI研究者・暗号資産ユーザー」という重複度の高い読者層が継続的に標的になっており、AI開発の活発化と並行して攻撃キャンペーンも組織化されつつあることが見て取れます。
サプライチェーン攻撃という観点で見ると、記事#3 Cline CLIサプライチェーン攻撃、記事#16 Glassworm(npm/VS Code拡張)、記事#17 Glassworm ForceMemo(Python force-push)、記事#21 Trivyサプライチェーン攻撃(TeamPCP)といった一連の事例と並んで、AIモデル配布プラットフォーム(Hugging Face)が新たな主戦場になっていることを示しています。GitHubやnpm/PyPIに加えて、Hugging Faceも「開発者が信頼を寄せるソースであり、かつ攻撃者にとっても標的価値のある配布経路」として明確に組み込まれた段階に来ています。
侵害確認と対応——汚染を疑う場合の手順
HiddenLayerおよびBleepingComputerが推奨する対応は、影響を受けた可能性のあるシステムに対して厳格な対応を取ることです。攻撃の性質が「クレデンシャル奪取型のinfostealer」であり、回復作業の前に汚染システムからログインすると追加クレデンシャルが取得される恐れがあるため、クリーンアップではなく再イメージ化(reimage)が推奨されています。具体的なアクションは以下の通りです。
- 該当ホストが
Open-OSS/privacy-filter(または関連リポジトリ群)をクローン・実行している場合、システムを完全侵害として扱い、再イメージ化を優先する - 再イメージ化前は当該システムから一切のサービスにログインしない(追加クレデンシャル漏洩を避けるため)
- 影響ホストに保存されていた全ての認証情報をローテーションする(パスワード、APIキー、SSH鍵、トークン類)
- 暗号資産ウォレットおよびseed phrasesを置き換える(同seed phraseの新規ウォレットは安全ではない)
- ブラウザのセッションおよびトークンを無効化する
- Discordトークンの無効化、FileZilla等のサードパーティアプリケーション設定の見直し
侵害確認のためのIoC(Indicators of Compromise)として、HiddenLayer公開のものを抜粋します。
- 悪意あるリポジトリ:
huggingface.co/Open-OSS/privacy-filter(無効化済み) - 関連アカウント:
anthfu配下の6リポジトリ(2026年4月24日アップロード) - コマンド取得URL:
jsonkeeper[.]com/b/AVNNE - C2サーバー:
recargapopular[.]com、api[.]eth-fastscan[.]org、welovechinatown[.]info - Infostealerハッシュ:
ba67720dd115293ec5a12d08be6b0ee982227a4c5e4662fb89269c76556df6e0(HiddenLayer公表) - 追加ペイロードハッシュ:
c1b59cc25bdc1fe3f3ce8eda06d002dda7cb02dea8c29877b68d04cd089363c7(api[.]eth-fastscan[.]orgで配信観測) - 関連ローダーハッシュ:
6d5b1b7b9b95f2074094632e3962dc21432c2b7dccfbbe2c7d61f724ffcfea7c(anthfu配下のloader.py)
実務観点での要点
実務視点で整理すると、次の3点に集約されます。
1つ目は、AIモデル配布プラットフォームをサプライチェーンセキュリティの対象として明確に位置付ける必要性です。Hugging Faceはこれまでも悪意あるモデルのホスティング事例が報告されてきましたが、本件のように「公式リリース直後にタイポスクワッティングで偽物が高速にトレンド入り」というパターンが成立してしまった事実は重大です。AIモデルの取り込みについても、npm/PyPIと同等のSCA(Software Composition Analysis)的アプローチ、検証可能な公開元の確認(公式アカウント名の事前リスト化、公式リポジトリのウォッチ)、トレンドに頼らない選定基準の整備が求められます。
2つ目は、トレンドランキングを「信頼の代理指標」として使うことのリスクです。本件では、244,000ダウンロード・667likes・18時間で第1位という数値が、自動化されたbotアカウントによる水増しで作り出されていた可能性が高いとされています。プラットフォームのランキングを見て「これは多くの人が使っているから安全」と判断する直感は、攻撃者によってまさに狙われる脆弱な評価軸です。「ダウンロード数が多い」「likes数が多い」「トレンド入りしている」は、信頼の代理指標ではなく、攻撃者にとっての投資対象になり得ます。
3つ目は、AIブランド悪用が組織的キャンペーンとして継続中であるという認識です。Claude Chrome拡張「ShadowPrompt」(#25)、ClickFix偽Claudeインストーラー(#38)、本件の偽OpenAI Privacy Filterと続く流れは、攻撃者がAI業界の話題性とユーザー期待値を継続的に悪用していることを示しています。新しいAI製品をクローンしたり、公式リリース直後を狙ったタイポスクワッティングを実行したりするコストは攻撃者にとって極めて低く、被害単価が高い分野(開発者の認証情報、暗号資産)にレバレッジが効きやすいため、今後も継続的に発生すると見込むべきです。組織としては、AIツール導入時のクリアランス基準を明確化し、特に開発者・研究者個人の判断に委ねず、組織レベルでホワイトリスト管理を行う運用が推奨されます。
ソース
一次情報・公式情報
- HiddenLayer Research Team:「Malware Found in Trending Hugging Face Repository “Open-OSS/privacy-filter”」:
https://www.hiddenlayer.com/research/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter - OpenAI公式:「Introducing OpenAI Privacy Filter」:
https://openai.com/index/introducing-openai-privacy-filter/ - OpenAI公式モデル(参考):
openai/privacy-filter(Hugging Face)
参考情報
- The Hacker News:「Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads」
- BleepingComputer:「Fake OpenAI repository on Hugging Face pushes infostealer malware」
- WindowsReport:「Fake OpenAI Privacy Filter Repo on Hugging Face Spread Infostealer Malware」
- Rescana:「Supply Chain Attack: Fake OpenAI Repository on Hugging Face Distributes Infostealer Malware」
※本稿のIoCおよびインフラ情報は、HiddenLayer公表時点のものに基づきます。攻撃者は同一構造のキャンペーンを別の名前空間で展開する可能性があるため、最新の脅威情報は各セキュリティベンダーのアドバイザリでご確認ください。
slug: fake-openai-privacy-filter-huggingface-sefirah-infostealer
コメント