Attaques sur la chaîne d'approvisionnement IA : abus de Hugging Face et ClawHub pour distribuer des malwares

Fri, 01 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes.

🎯 Vecteurs d’attaque principaux

ClawHub / OpenClaw

575 skills malveillants identifiés, distribués par 13 comptes développeurs
Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%)
Ciblage cross-platform : Windows et macOS
Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes
Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub

Hugging Face

Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes
Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe
Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender

🛠️ Techniques observées

Social engineering via des noms de dépôts attractifs et README bien rédigés
Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution
In-memory execution et process injection dans explorer.exe
Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry
Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex
C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443
Dead-drop resolver via bot Telegram (t.me/dusty_vintage)
Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c)

🦠 Payloads identifiés

AMOS Stealer : infostealer macOS vendu en MaaS via Telegram
Trojan (binaire Windows packé avec VMProtect)
Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe
Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire
RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android)

📌 Type d’article

Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables.

ITHKRPAW on CyberVeille