Baptisé Open-OSS/privacy-filter, un dépôt malveillant sur Hugging Face s’est fait passer pour une publication officielle d’OpenAI et a diffusé un logiciel de vol d’informations ciblant les systèmes Windows. Avant sa suppression, il aurait été téléchargé environ 244 000 fois. Selon la société de sécurité IA HiddenLayer, ce dépôt usurpait l'identité de la version légitime de Privacy Filter d'OpenAI, en copiant presque mot pour mot sa fiche de modèle et en incluant un fichier loader.py malveillant qui récupérait et exécutait un logiciel malveillant de vol d'identifiants sur les hôtes Windows. L’avis de recherche précise également : « Le référentiel a atteint la première place des tendances sur Hugging Face avec environ 244 000 téléchargements et 667 mentions « J'aime » en moins de 18 heures. Ces chiffres ont très certainement été gonflés artificiellement pour donner au référentiel une apparence de légitimité ».

Le fichier README participait lui aussi à la tromperie : il indiquait aux utilisateurs d’exécuter des commandes selon leur système, notamment start.bat sous Windows ou python loader.py sous Linux et MacOS, déclenchant ainsi l’exécution du code malveillant. Cet épisode met en évidence une inquiétude croissante autour des plateformes de modèles IA open source, susceptibles de devenir un maillon faible dans la chaîne d’approvisionnement logicielle. En clonant et en exécutant des modèles directement dans des environnements professionnels, les développeurs peuvent exposer des données sensibles, des identifiants cloud ou des systèmes internes. Enfin, les chercheurs rappellent que ce type d’attaque n’est pas isolé : du code malveillant avait déjà été découvert dans des fichiers de modèles sérialisés au format Pickle sur Hugging Face, parfois capable de contourner les outils de détection. Ils soulignent ainsi un retard des mécanismes de sécurité de l’IA par rapport à ceux du logiciel traditionnel.

Un chargeur malveillant déguisé en configuration de modèle légitime

Selon HiddenLayer, le script loader.py exécute d'abord un code leurre qui ressemble à un chargeur de modèle IA légitime avant de lancer une chaîne d'infection dissimulée. Le script a désactivé la vérification SSL, décodé une URL encodée en base64 liée au service d'hébergement JSON public jsonkeeper.com, récupéré une instruction de charge utile à distance et transmis des commandes à PowerShell. « L'utilisation de jsonkeeper[.]com comme canal C2 donne à l'attaquant la possibilité de faire tourner la charge utile sans modifier le référentiel », ont écrit les chercheurs. La commande PowerShell qui en a résulté a téléchargé un fichier batch supplémentaire depuis un domaine contrôlé par l'attaquant et a établi une persistance en créant une tâche planifiée conçue pour imiter un processus de mise à jour légitime de Microsoft Edge.

Selon l'avis de sécurité, la chaîne d'infection a finalement déployé un voleur d'informations basé sur Rust ciblant les navigateurs dérivés de Chromium et Firefox, le stockage local de Discord, les portefeuilles de cryptomonnaies, les configurations de FileZilla et les informations du système hôte. Le logiciel malveillant a également tenté de désactiver l'interface d'analyse anti-malware de Windows et le traçage des événements pour Windows, tout en recherchant des environnements de sandbox et de machines virtuelles afin d'échapper à l'analyse.

Une campagne plus large ciblant la chaîne d’approvisionnement de l’IA

Dans son avis, la société a déclaré avoir identifié six autres dépôts Hugging Face téléchargés sous un compte distinct qui utilisaient une logique de chargement presque identique et partageaient une infrastructure commune avec la campagne. Les chercheurs ont également établi un lien entre certains éléments de l'opération et des attaques antérieures visant la chaîne d'approvisionnement logicielle, impliquant des campagnes de typosquatting sur npm et de faux paquets IA distribués via PyPI. L'infrastructure partagée « suggère que ces campagnes sont peut-être liées et font probablement partie d'une opération plus large visant la chaîne d'approvisionnement des écosystèmes open source », a écrit HiddenLayer.

Cet incident fait suite à des avertissements antérieurs de chercheurs concernant du code malveillant intégré dans des fichiers de modèles IA sérialisés au format Pickle sur Hugging Face, ainsi qu'à des campagnes distinctes impliquant des SDK IA corrompus et de faux installateurs OpenClaw.

Les contrôles de sécurité traditionnels s'avèrent insuffisants

Selon les analystes, cet incident met également en évidence les limites des outils existants d'analyse de la composition logicielle et de sécurité des applications lorsqu'ils sont appliqués aux artefacts IA. « L'analyse traditionnelle de la composition logicielle (SCA) a été conçue pour inspecter les manifestes de dépendances, les bibliothèques et les images de conteneurs, et non les comportements de plus en plus complexes associés aux workflows de développement de l'IA », a déclaré Sakshi Grover, responsable de recherche senior pour les services de cybersécurité chez IDC. « Elle est bien moins efficace pour identifier la logique de chargement malveillante dissimulée dans des référentiels IA en apparence légitimes. »

De son côté, Jaishiv Prakash (Gartner) souligne la nécessité de contrôles dédiés au niveau des registres IA : « Les entreprises doivent mettre en place des contrôles dédiés pour les sources des modèles, les versions approuvées, l’accès et la validation à l’exécution au niveau du registre », ajoutant que les référentiels de modèles distribuent des artefacts exécutables et une logique intégrée qui échappent souvent au champ d’application effectif des outils SCA traditionnels. Le rapport FutureScape de novembre 2025 d’IDC prévoit que d’ici 2027, 60 % des entreprises déployant des systèmes IA agentique auront besoin d’une nomenclature IA pour prendre en charge l’analyse continue des vulnérabilités et l’assurance de la conformité, a déclaré Sakshi Grover. 

Recommandations et réponse des plateformes

Face à cette attaque, la société recommande aux entreprises touchées de considérer les systèmes comme entièrement compromis et de privilégier une réinstallation complète plutôt qu’un simple nettoyage. « Si vous avez cloné le dépôt Open-OSS/privacy-filter et exécuté start.bat, python loader.py ou tout autre fichier provenant de ce dépôt sur un hôte Windows, considérez le système comme entièrement compromis », indique l’avis. Les sessions de navigateur doivent également être considérées comme compromises, même lorsque les mots de passe n'étaient pas stockés localement, ont ajouté les chercheurs, car les cookies de session volés peuvent contourner les protections d'authentification multifactorielle.

Les chercheurs recommandent également de révoquer les identifiants, invalider les sessions actives, surveiller les connexions réseau et bloquer les indicateurs de compromission. Enfin, Hugging Face a confirmé que le dépôt violait ses conditions d’utilisation et l’a supprimé de la plateforme, selon HiddenLayer.