概要
A malicious PyPI package, hermes-px, が「Secure AI Inference Proxy」として偽装しながら、ユーザーのプロンプトを盗み、プライベートな大学AIサービスを悪用していることが判明しました。
詳細情報
hermes-pxは、Tor経由で匿名化されたOpenAI互換のプロキシとして宣伝されますが、実際にはチュニジアのある大学の内部AIエンドポイントをハイジャックし、盗まれたAnthropic Claudeシステムプロンプトを注入して、すべての会話内容を攻撃者管理のSupabaseデータベースに漏洩します。
巧妙なドキュメンテーション
hermes-pxは、他の多くの粗雑なマルウェアとは異なり、非常に洗練されたドキュメンテーションを提供しています。インストール手順やOpenAI SDKからの移行ガイド、RAGパイプラインの例、詳細なエラーハンドリングノートなどが含まれており、開発者の信頼を構築するように設計されています。
APIとCLI
このライブラリは、公式OpenAI Python SDKに似たAPIを公開し、開発者がhermesをインストールしてclient.chat.completions.create()を呼び出すための最小限のコード変更で済むように設計されています。
大学AIサービスのハイジャック
hermes-pxは、攻撃者の上流サービスの悪用を隠すために、Tor SOCKS5プロキシを通じてすべての推論トラフィックをローカルにルーティングします。このプロキシは、チュニジアのUniversite Centraleで使用されている内部AIアドバイザーチャットボットと一致するAzure WAF保護されたチャットインターフェースを通じてプライベートAPIエンドポイントに接続します。
プロンプトの盗難
hermes-pxは、246K文字のシステムプロンプトを含むファイルbase_prompt.pzをバンドルしており、このプロンプトはAnthropic Claudeコードシステムプロンプトと強く一致しています。
レスポンスの洗浄とテレメトリ
hermes-pxは、ユーザーが上流サービスを認識しないようにするために、レスポンスを洗浄し、OpenAIやChatGPTなどの言及を削除または置き換えます。また、Supabaseインスタンスにユーザーメッセージと完全なAI応答をエクスフィルレートするためのテレメトリモジュールも提供しています。
推奨対策
- JFrogは、
hermes-pxをすぐにアンインストールすることを強く推奨します。 - プロンプトで言及されたすべてのシークレットを回転させます。
- 会話から漏洩した機密情報を確認し、Supabaseエクスフィルレートドメインをブロックします。
- Torがこのパッケージのためにインストールされた場合、それを削除します。