Quand les plateformes de confiance véhiculent des logiciels malveillants
Le risque émergent sur le Hugging Face
Depuis des années, Hugging Face a été adopté par la communauté de l’intelligence artificielle en tant que plaque tournante pour les modèles, les ensembles de données et le développement collaboratif. Souvent comparée au “GitHub de l’IA“, la plateforme héberge des centaines de milliers de modèles d’apprentissage automatique utilisés par des chercheurs, des développeurs et des entreprises du monde entier. Sa réputation d’ouverture et d’innovation en a fait la pierre angulaire des travaux modernes sur l’IA… jusqu’à aujourd’hui.
Des recherches récentes en matière de cybersécurité révèlent une tendance inquiétante : des acteurs menaçants abusent de l’infrastructure de confiance de Hugging Facepour distribuer des logiciels malveillants Android à grande échelle. Ce faisant, ils exploitent la confiance implicite que les développeurs et les systèmes de sécurité accordent aux plateformes établies. Cette évolution du comportement des attaquants met en évidence une surface de risque plus large dans les écosystèmes d’IA et souligne la nécessité de mettre à jour les stratégies défensives en matière de cybersécurité.
La campagne : De la confiance au cheval de Troie
Cette menace provient d’une campagne de logiciels malveillants pour Android qui abuse de l’infrastructure d’hébergement de Hugging Face. Selon Bitdefender, l’attaque repose sur l’ingénierie sociale, incitant les utilisateurs à installer une fausse application de sécurité appelée TrustBastion.
Une fois installée, l’application fonctionne comme un dropper, affichant de fausses invites de mise à jour du système ou de Google Play. Lorsqu’elle est déclenchée, elle télécharge et exécute une charge utile malveillante hébergée sur des ensembles de données Hugging Face plutôt que sur des domaines ouvertement malveillants.
En s’appuyant sur une plateforme de confiance à forte réputation, les attaquants réduisent considérablement la probabilité que les contrôles de sécurité traditionnels bloquent ou signalent l’activité, ce qui permet aux logiciels malveillants d’échapper à la détection.
Le polymorphisme à grande échelle : Échapper à la détection
Ce qui rend cette campagne particulièrement efficace (et inquiétante), c’est l’utilisation du polymorphisme côté serveur. Plutôt que de servir un fichier APK statique, les attaquants génèrent automatiquement des milliers de paquets d’applications Android (APK) uniques avec des variations mineures. Ces innombrables variantes sont téléchargées dans les dépôts Hugging Face, créant ainsi un profil de logiciel malveillant en constante évolution que les systèmes de détection basés sur les signatures ont du mal à identifier.
L’analyse de Bitdefender a révélé que l’un de ces dépôts avait accumulé plus de 6 000 commits en moins d’un mois, avec de nouvelles versions de charges utiles apparaissant environ toutes les 15 minutes. Lorsque ce dépôt a été supprimé, la campagne a rapidement refait surface sous un nouveau nom (Premium Club), avec seulement des changements d’icônes superficiels tout en conservant des fonctionnalités malveillantes identiques.
Ce niveau d’automatisation et de mutation rapide des charges utiles montre comment les attaquants industrialisent la distribution des logiciels malveillants, en traitant les plateformes de confiance comme des canaux de distribution non réglementés, plutôt que comme de simples outils de développement.
Les capacités du logiciel malveillant
Une fois exécutée, la charge utile finale fonctionne comme un cheval de Troie d’accès à distance (RAT). Il abuse des services d’accessibilité d’Android et d’autres autorisations pour surveiller le comportement de l’utilisateur, capturer le contenu de l’écran, voler des informations d’identification et potentiellement exfiltrer des données sensibles.
Selon Bleeping Computer et TechRadar, le logiciel malveillant tente de présenter des interfaces de connexion frauduleuses pour des services financiers largement utilisés, dans le but de récupérer les informations d’identification et les codes d’écran de verrouillage de victimes peu méfiantes.
Parce qu’il utilise les services d’accessibilité, le logiciel malveillant peut également contourner les protections habituelles au niveau de l’utilisateur, ce qui rend la détection et la suppression plus difficiles. Dans certains cas, il bloque la désinstallation, ce qui l’incite à s’implanter davantage sur l’appareil compromis.
Pourquoi les plateformes de confiance sont-elles des cibles attrayantes ?
Cette campagne met en évidence un changement radical dans la manière dont les acteurs de la menace considèrent la confiance. Historiquement, les acteurs malveillants se sont appuyés sur des sites web louches, des domaines d’hameçonnage ou des serveurs compromis pour la distribution. Avec l’essor des réseaux de diffusion de contenu (CDN) sophistiqués et des référentiels collaboratifs, les attaquants reconnaissent l’avantage d’associer une activité malveillante à une infrastructure légitime.
Les plateformes telles que Hugging Face sont intrinsèquement attrayantes :
Réputation de domaine élevée
Le trafic provenant des domaines Hugging Face est rarement signalé par les outils de sécurité, qui associent la plateforme à l’activité légitime des développeurs.
Modèle de contribution ouvert
Les utilisateurs peuvent télécharger des modèles et des ensembles de données avec un minimum de friction, ce qui permet aux attaquants d’insérer plus facilement des artefacts malveillants qui échappent aux filtres initiaux.
Large intégration
Les modèles et les ensembles de données de Hugging Face sont intégrés dans les flux de travail de tous les secteurs, ce qui accroît l’exposition et l’impact potentiel.
Il en résulte un risque pour la chaîne d’approvisionnement qui ne se limite pas aux chercheurs en IA. Même les organisations dotées de solides défenses contre les logiciels malveillants peuvent éprouver des difficultés à détecter les charges utiles malveillantes lorsqu’elles proviennent d’un référentiel de confiance.
Atténuations et pratiques défensives
Les experts en sécurité soulignent que le risque va au-delà des logiciels malveillants Android. À mesure que les attaques de la chaîne d’approvisionnement par apprentissage automatique deviennent plus courantes, les organisations doivent repenser la manière dont elles intègrent les actifs d’IA externes. Voici quelques bonnes pratiques :
Validation stricte des modèles et des ensembles de données
Adoptez une analyse rigoureuse pour détecter les logiciels malveillants et les codes non sécurisés avant d’intégrer des modèles externes. Les formats tels que les safetensors, introduits pour atténuer les risques de désérialisation hostile, devraient être privilégiés par rapport aux formats moins sûrs tels que les modèles basés sur les pickles.
Sandboxing et isolation
Exécutez des modèles ou des codes d’IA non fiables dans des sandboxes sécurisés afin de contenir les comportements malveillants potentiels.
Examinez les drapeaux de confiance
Évitez d’activer des fonctions telles que trust_remote_code ou trust_repo sans comprendre les implications en termes de sécurité, en particulier dans les systèmes de production.
Surveillance continue
Déployez la détection des anomalies et l’analyse comportementale sur l’exécution du modèle et le comportement de l’application afin d’identifier les activités suspectes.
Bien qu’aucune mesure ne permette à elle seule d’éliminer totalement les risques, une stratégie défensive à plusieurs niveaux peut réduire considérablement la probabilité qu’un code malveillant atteigne les utilisateurs finaux et ait un impact sur eux.
Garantir la confiance dans un écosystème piloté par l’IA
La campagne de logiciels malveillants Hugging Face met en évidence une dure réalité : les plateformes de confiance peuvent involontairement amplifier les menaces sophistiquées. À mesure que l’adoption de l’IA s’accélère, la surface d’attaque s’étend au-delà de l’infrastructure traditionnelle, vers les référentiels de modèles, les ensembles de données et les flux de travail de développement.
La réputation n’est plus un contrôle. Les organisations doivent traiter les écosystèmes d’IA comme une partie de leur périmètre de sécurité, avec une surveillance continue, des processus de validation stricts et une gouvernance intégrée dès la conception.
Renforcez votre cyberdéfense contre les menaces fondées sur l’IA
L’utilisation abusive de l’IA dans la chaîne d’approvisionnement constitue un risque opérationnel réel. Pour l’atténuer, il faut une surveillance continue, une détection avancée des menaces et une réponse rapide aux incidents.
Chez Jolera, nous sécurisons les organisations grâce à des services de cybersécurité gérés et à une protection proactive, tout en soutenant une adoption sûre de l’IA avec une gouvernance intégrée.