Modelli di machine learning maliziosi su Hugging Face sfruttano il formato Pickle corrotto per eludere la rilevazione

Recenti ricerche hanno rivelato la presenza di due modelli di machine learning (ML) maliziosi sulla piattaforma Hugging Face, i quali utilizzano una tecnica insolita di "pickle corrotto" per eludere i sistemi di rilevamento. Questi modelli sfruttano il formato di serializzazione Pickle di Python, noto per i suoi rischi di sicurezza, poiché può eseguire codice arbitrario al momento del caricamento e della deserializzazione.

Tecnica "NullifAI" e Implicazioni per la Sicurezza

La tecnica impiegata, denominata "NullifAI", consiste nell'inserimento di un payload malizioso all'inizio del file Pickle. Questo approccio consente al codice dannoso di essere eseguito prima che la deserializzazione dell'oggetto venga completata, evitando così la rilevazione da parte degli strumenti di sicurezza esistenti. In entrambi i casi analizzati, il payload malizioso è un reverse shell che si connette a un indirizzo IP predefinito.

Modelli Coinvolti e Implicazioni per la Supply Chain

I modelli maliziosi sono stati individuati nei repository Hugging Face con i seguenti identificatori:

• glockr1/ballr7
• who-r-u0000/0000000000000000000000000000000000000

Si ritiene che questi modelli rappresentino più una prova di concetto (PoC) che una minaccia attiva alla supply chain. Tuttavia, evidenziano vulnerabilità significative nella distribuzione di modelli ML attraverso piattaforme open-source.

Raccomandazioni per gli Utenti

Gli utenti sono invitati a essere cauti nell'utilizzo di modelli ML provenienti da fonti non verificate e a implementare misure di sicurezza adeguate per proteggere i propri sistemi da potenziali exploit. È essenziale monitorare costantemente le piattaforme di distribuzione di modelli ML per individuare e mitigare tempestivamente eventuali minacce.