Hugging Face a hébergé un logiciel malveillant se faisant passer pour une version d'OpenAI
Un dépôt frauduleux hébergé sur Hugging Face, se faisant passer pour une version officielle d'OpenAI, a diffusé un logiciel malveillant de type infostealer sur des machines Windows avant d'être retiré de la plateforme. Selon une analyse publiée par la société de sécurité IA HiddenLayer, le dépôt baptisé "Open-OSS/privacy-filter" imitait fidèlement la page du projet OpenAI Privacy Filter : le fichier README avait été copié presque à l'identique, et les attaquants avaient intégré un fichier loader.py contenant un mécanisme d'infection dissimulé derrière du code d'apparence légitime. Ce fichier désactivait la vérification SSL, décodait une URL encodée en base64 pointant vers jsonkeeper.com, puis transmettait des instructions à PowerShell sur les machines Windows. Un fichier batch supplémentaire était ensuite téléchargé depuis un domaine contrôlé par les attaquants, et le malware s'installait en créant une tâche planifiée imitant une mise à jour légitime de Microsoft Edge. La charge finale était un infostealer écrit en Rust ciblant les navigateurs dérivés de Chromium et Firefox, Discord, les portefeuilles de cryptomonnaies, les configurations FileZilla et les informations système, tout en cherchant à désactiver l'interface Windows Antimalware Scan Interface. Le dépôt aurait enregistré environ 244 000 téléchargements et atteint la liste des projets "trending" sur Hugging Face avec 667 likes en moins de 18 heures, mais ces chiffres pourraient avoir été artificiellement gonflés par les attaquants.
L'incident illustre un risque croissant dans la chaîne d'approvisionnement logicielle des équipes d'IA. Les développeurs et data scientists clonent régulièrement des modèles directement dans des environnements d'entreprise ayant accès au code source, aux identifiants cloud et aux systèmes internes, ce qui transforme un dépôt compromis en vecteur d'intrusion à fort impact. L'utilisation de jsonkeeper.com comme canal de commande et contrôle permettait aux attaquants de modifier le contenu malveillant sans toucher au dépôt lui-même, rendant la détection encore plus difficile. Sakshi Grover, directrice de recherche senior en cybersécurité chez IDC, rappelle que les outils d'analyse de composition logicielle traditionnels ont été conçus pour inspecter les manifestes de dépendances, les bibliothèques et les images de conteneurs, et restent peu adaptés pour identifier une logique de chargement malveillante nichée dans des dépôts d'IA.
Cet incident s'inscrit dans une série d'avertissements récents concernant les registres publics de modèles d'IA. Des chercheurs avaient déjà signalé des modèles dissimulant du code malveillant dans des fichiers Pickle sérialisés, contournant les scanners de la plateforme. HiddenLayer a également identifié six autres dépôts Hugging Face utilisant une logique de chargement quasi identique et partageant la même infrastructure que l'attaque principale. La tendance de fond est claire : les attaquants considèrent désormais les workflows de développement IA comme une porte d'entrée vers des environnements normalement sécurisés, en exploitant non pas les modèles eux-mêmes, mais leurs éléments périphériques comme les scripts de configuration, les notebooks et les fichiers de dépendances. En réponse, IDC préconise dans son rapport FutureScape de novembre 2025 que 60 % des systèmes d'IA agentique disposent d'un inventaire exhaustif de leurs composants d'ici 2027, permettant aux entreprises de tracer l'origine, la version approuvée et les éléments exécutables de chaque artefact IA utilisé.
Hugging Face étant une entreprise fondée en France et massivement utilisée par les équipes IA européennes, cet incident expose directement les développeurs et data scientists du continent à des risques de compromission via leur chaîne d'approvisionnement logicielle IA.
C'est le genre d'attaque qu'on voyait venir depuis longtemps. Les devs IA ont pris l'habitude de cloner des dépôts entiers directement dans leurs envs de boîte, avec les accès cloud et les tokens qui vont avec, et c'est exactement ça que les attaquants ont ciblé, pas le modèle, le script Python autour. Hugging Face doit assumer son rôle de registre de confiance, pas juste de plateforme de partage.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
