Hugging Face पर OpenAI बनकर आया मैलवेयर, 2.44 लाख डाउनलोड

AI और मशीन लर्निंग की दुनिया में एक बड़ा सिक्योरिटी स्कैम सामने आया है। Hugging Face नाम के पॉपुलर AI प्लेटफॉर्म पर एक फर्जी रिपॉजिटरी मिली जो OpenAI का प्रोडक्ट बनकर आई थी। यह असल में एक मैलवेयर था जो यूजर्स के कंप्यूटर से डेटा चुराता था।

क्या था यह फर्जी OpenAI रिपॉजिटरी?

BleepingComputer की रिपोर्ट के मुताबिक, इस मैलिशियस रिपॉजिटरी का नाम 'Open-OSS/privacy-filter' था। यह OpenAI के असली 'Privacy Filter' प्रोजेक्ट की नकल थी। हैकर्स ने असली मॉडल कार्ड को लगभग कॉपी-पेस्ट कर दिया था, जिससे यह बिल्कुल असली लगता था।

HiddenLayer नाम की AI सिक्योरिटी फर्म ने इस स्कैम को पकड़ा। उनके मुताबिक, इस रिपॉजिटरी में एक मैलिशियस loader.py फाइल थी जो Windows सिस्टम पर क्रेडेंशियल-स्टीलिंग मैलवेयर डाउनलोड और रन करती थी।

कितने लोग हुए इसके शिकार?

यह फर्जी रिपॉजिटरी Hugging Face पर ट्रेंडिंग लिस्ट में टॉप पर पहुंच गई थी। The Hacker News के अनुसार, इसने 244,000 डाउनलोड किए थे। साथ ही, 18 घंटे से भी कम समय में 667 लाइक्स मिले थे।

लेकिन HiddenLayer का कहना है कि ये डाउनलोड नंबर शायद आर्टिफिशियली बढ़ाए गए थे। हैकर्स ने ऐसा इसलिए किया होगा ताकि यह ज्यादा पॉपुलर लगे और ज्यादा लोग इसे डाउनलोड करें। इसलिए असली असर का पता लगाना मुश्किल है।

कैसे काम करता था यह मैलवेयर?

CSO Online की रिपोर्ट के मुताबिक, जैसे ही कोई यूजर इस रिपॉजिटरी को डाउनलोड करता था, loader.py फाइल एक्टिवेट हो जाती थी। यह फाइल Windows मशीनों पर इन्फोस्टीलर मैलवेयर लाती थी जो यूजर्स के पासवर्ड, बैंकिंग डिटेल्स और दूसरे संवेदनशील डेटा को चुरा लेता था।

यह मैलवेयर सिर्फ Windows सिस्टम को टार्गेट करता था। रिपॉजिटरी को हटा दिया गया है, लेकिन तब तक लाखों लोग इसके शिकार हो चुके थे।

Hugging Face पर सिक्योरिटी का सवाल

यह घटना AI प्लेटफॉर्म्स पर सिक्योरिटी को लेकर बड़े सवाल खड़े करती है। Hugging Face जैसे प्लेटफॉर्म पर कोई भी अपना मॉडल अपलोड कर सकता है। अगर वहां पर्याप्त चेकिंग नहीं होगी, तो ऐसे फर्जी मॉडल्स यूजर्स को धोखा दे सकते हैं।

यह पहली बार नहीं है जब AI प्लेटफॉर्म पर मैलवेयर मिला हो। लेकिन इस बात ने सबको चौंका दिया कि यह OpenAI जैसे भरोसेमंद ब्रांड का रूप धरकर आया और ट्रेंडिंग लिस्ट में टॉप पर पहुंच गया।

हमारी बात: AI यूजर्स को सावधान रहने की जरूरत

हमारी नजर में, यह घटना एक बड़ा वेक-अप कॉल है। AI टूल्स और मॉडल्स का इस्तेमाल बढ़ रहा है, लेकिन साथ ही स्कैमर्स भी एक्टिव हो रहे हैं। अगर OpenAI या किसी बड़ी कंपनी का प्रोडक्ट डाउनलोड कर रहे हैं, तो हमेशा ऑफिशियल सोर्स से ही करें।

Hugging Face जैसे प्लेटफॉर्म को भी अपनी सिक्योरिटी चेकिंस को मजबूत करना चाहिए। अगर कोई रिपॉजिटरी इतनी तेजी से ट्रेंड कर सकती है और लाखों डाउनलोड ले सकती है, तो उसकी जांच पहले से होनी चाहिए।

यूजर्स के लिए सीधी बात यह है कि किसी भी AI मॉडल को डाउनलोड करने से पहले दो बार सोचें। अगर कुछ बहुत अच्छा लग रहा है, तो शायद वह सच नहीं है।

Sources & References

1. Fake OpenAI repository on Hugging Face pushes infostealer malware — BleepingComputer
2. Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads — The Hacker News
3. Malicious Hugging Face model masquerading as OpenAI release hits 244K downloads — CSO Online