Hugging Face 平台遭濫用：Android 遠端控制木馬「TrustBastion」傳播事件深度分析

隨著人工智慧技術的爆發，Hugging Face 已成為全球開發者託管模型與資料集的首選平台，被譽為「AI 界的 GitHub」。然而，這種高信任度與強大的內容分發網路（CDN）基礎設施，正逐漸成為威脅行動者（Threat Actors）利用的新型攻擊媒介。近期資安研究機構 Bitdefender 揭露了一場針對 Android 使用者的惡意活動，攻擊者利用 Hugging Face 儲存庫分發數千種惡意軟體變種，旨在竊取使用者的支付憑據與金融資產。(Bitdefender)

攻擊鏈分析：從恐嚇廣告到 Hugging Face CDN

這場攻擊活動展現了極高的組織性與技術規避手段。攻擊流程並非直接傳送惡意程式，而是透過多層次的跳板來躲避靜態掃描與網域過濾：

初始滲透：攻擊者透過網頁上的「恐嚇式廣告」（Scareware）誤導使用者，聲稱其行動裝置已感染病毒或存在安全漏洞，誘使使用者下載名為「TrustBastion」的應用程式。
誘餌程式執行：TrustBastion 本身是一個投放器（Dropper），安裝後會模仿 Google Play 的介面彈出「強制更新」提醒。
重新導向與下載：該程式會連線至後端 C2 伺服器（trustbastion[.]com），該伺服器並不直接提供載荷，而是將請求重新導向至 Hugging Face 上的資料集儲存庫（Datasets Repository）。
濫用高信任平台：由於 Hugging Face 的網域通常在企業與資安軟體的白名單中，惡意 APK 經由其 CDN 順利下載至受害者手機，極難被網路層級的防火牆偵測。(IT之家)

核心技術：伺服器端多態性與輔助功能濫用

為了對抗傳統防毒軟體的特徵碼偵測，該惡意活動採用了「伺服器端多態性」（Server-side Polymorphism）技術。調查顯示，攻擊者每 15 分鐘就會自動生成一個新的載荷變種，改變程式碼混淆特徵與雜湊值（Hash）。在短短 29 天內，該 Hugging Face 儲存庫便記錄了超過 6,000 次的代碼提交，這種高頻率的變動使得基於黑名單的防禦機制幾乎失效。(Bitdefender)

最終落地的惡意載荷是一個功能強大的遠端訪問工具（RAT），其核心攻擊手法如下：

濫用輔助功能（Accessibility Services）：惡意軟體會以安全檢查為由，誘導使用者開啟 Android 的輔助功能權限。一旦取得權限，攻擊者即可實現全自動化的螢幕監控、類比滑動點擊、攔截簡訊，甚至阻止使用者進入設定介面進行解除安裝。
覆蓋攻擊（Overlay Attack）：當偵測到使用者開啟支付寶（Alipay）或微信（WeChat）等金融 App 時，惡意軟體會立即在最上層覆蓋一個偽造的登入介面，精準竊取使用者的帳號密碼與 PIN 碼。
持續監控：該軟體會全天候連接 C2 伺服器，將使用者的螢幕截圖與敏感輸入即時回傳給攻擊者。

AI 平台成為資安新戰場

此次事件並非孤例。隨著 AI 模型的廣泛應用，Hugging Face 平台上已多次發現被植入惡意代碼的模型檔案。部分攻擊者在 Python 模型檔案中隱藏後端後門，或是在模型載入過程中利用反序列化漏洞執行二進位程式。這顯示出「模型供應鏈安全」已成為 IT 管理者不得不面對的嚴峻挑戰。(SecRSS)

當攻擊者將惡意軟體更名為「Premium Club」並更換圖標後，即便舊的儲存庫被封鎖，攻擊活動仍能迅速重組與復原。這反映出威脅行動者對於雲端平台的營運機制瞭若指掌，利用其開放性進行快速迭代。