AI開発プラットフォームのHugging Faceで、OpenAIの公式プロジェクトに偽装した悪意あるリポジトリが約24万4,000回のダウンロードを記録しながらトレンド1位に到達し、Windowsユーザーへ情報窃取マルウェアを配布していた事実が判明した。npmやPyPIで何年も繰り返されてきたサプライチェーン攻撃が、いよいよAIモデルの世界でも本格化している。

偽装の手口――「本物そっくり」のリポジトリ

セキュリティ企業HiddenLayerの研究者が2026年5月7日に発見したのは、Open-OSS/privacy-filterという名称のリポジトリだ。OpenAIが公開している正規の「Privacy Filter」プロジェクトをタイポスクワッティング(類似名称による偽装)し、モデルカードの説明文まで原文をほぼそのままコピーして本物らしさを演出していた。

問題のloader.pyは、AIモデルを読み込むための正規コードに見せかけながら、裏ではSSL検証を無効化し、Base64エンコードされたURLを復号して外部サーバーに接続。PowerShellコマンドを含むJSONペイロードを取得・実行する仕組みが組み込まれていた。

攻撃チェーンと窃取対象

実際の攻撃の流れを整理すると次のようになる。

  • loader.pyが不可視ウィンドウでPowerShellを実行
  • バッチファイル(start.bat)をダウンロードして特権昇格を実行
  • 最終ペイロード(sefirah)を取得し、Microsoft Defenderの除外リストに自動登録
  • Rust実装のインフォスティーラーが起動

マルウェアが狙う情報は幅広い。ChromiumやGeckoベースのブラウザに保存されたパスワード・Cookie・セッショントークン、Discordトークンとローカルデータベース、暗号資産ウォレットとシードフレーズ、SSH・FTP・VPN設定ファイル(FileZillaを含む)、マルチモニターのスクリーンショットなど、実務端末に存在しうる重要資産がほぼ網羅されている。盗み取ったデータはrecargapopular[.]comに送信される。

さらにこのマルウェアは、VM検出・サンドボックス検出・デバッガー検出など複数のアンチ分析機能を内蔵しており、自動解析システムによる検知を積極的に回避する設計だ。

「244,000 downloads」の重さ

HiddenLayerは、244,000というダウンロード数が人為的に水増しされている可能性を指摘している。リポジトリに「いいね」した667アカウントの多くも自動生成と見られる。それでも、Hugging Faceのトレンド1位に到達したという事実は、「人気があるから安全」というソーシャルシグナルへの信頼がいかに容易に操作できるかを示している。

また調査の過程で、同じローダーインフラを使用する別リポジトリも複数発見された。npmエコシステムでWinOS 4.0インプラントを配布するタイポスクワッティングキャンペーンとの重複も確認されており、組織的な攻撃グループが複数の攻撃ベクターを並行展開している可能性がある。

実務への影響

開発者・MLエンジニア向け

  • リポジトリ名・組織名の差異を確認する習慣を: OpenAIではなくOpen-OSSという微妙な違いを見逃さない
  • 実行前にソースコードを必ず読む: AIモデルのサンプルコードであっても、loader.pyの類は実行前に内容を確認する
  • 未知のリポジトリはサンドボックスで検証: Hugging Faceから取得したモデルは隔離環境で動作確認してから本番利用へ

IT管理者・セキュリティ担当者向け

  • Microsoft Defender除外リスト変更をアラート対象に: 今回の攻撃はDefenderの除外機能を悪用する。除外リスト変更イベント(Event ID 5007等)の監視を整備する
  • Hugging FaceへのアクセスをEndpoint DLPでポリシー化: 業務端末からの無制限アクセスを見直し、承認済みリポジトリのみに絞る
  • NHI(Non-Human Identity)のシークレットを定期ローテーション: SSH鍵やFTPパスワードが漏洩した際の被害を最小化するため、シークレットローテーションの自動化を整備する

感染が疑われる場合は、端末の再イメージング、全保存認証情報のローテーション、暗号資産ウォレットとシードフレーズの差し替え、ブラウザセッションの無効化が必要だ。

筆者の見解

正直なところ、セキュリティ系は得意なジャンルではない。それでも今回の件は技術的に非常に興味深いと感じた。

AIツールが「インフラ化」しつつある今、Hugging FaceはnpmやPyPIと同等のサプライチェーンリスクを持つプラットフォームになりつつある。npmのタイポスクワッティング事件は何年も前から繰り返されてきたが、同じ問題がAIモデルの世界でも起きるのは時間の問題だった。そしてその「時間」が来た。

注目したいのは攻撃の精巧さだ。Pythonファイルに正規のAI処理コードを混在させてサンドボックスをすり抜け、PowerShellを不可視ウィンドウで実行してDefender除外まで自動設定する。これだけの手順を踏んでいることからも、標的が開発者やMLエンジニアという「権限を持ったユーザー」であることは明白だ。彼らの端末には、ビジネスに直結する認証情報が集中している。

「トレンド入りしているから安全」「多くの人がダウンロードしているから大丈夫」という心理的バイアスは今や危険だ。エンゲージメント指標が簡単に操作できる時代において、ソーシャルシグナルは信頼の根拠にならない。AIエコシステムを活用する組織には、コードを読むという当たり前の習慣をAIモデルにも適用することが、今すぐ求められている。

出典: この記事は Fake OpenAI repository on Hugging Face pushes infostealer malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。