網絡安全領域再曝重大風險事件，知名開源社區 Hugging Face 遭黑客利用，成為傳播安卓惡意軟件的跳板。該惡意軟件以金融盜竊為主要目標，通過一系列隱蔽手段竊取用戶支付寶、微信等金融應用的賬號密碼，甚至試圖獲取手機鎖屏 PIN 碼，對用戶財產安全構成嚴重威脅。

Hugging Face 作為全球人工智能開發者聚集的開源平臺，因高信譽度常被安全軟件列入白名單。然而，黑客正是利用這一特性，將惡意軟件偽裝成正常應用，通過該平臺分發。此次攻擊主要針對安卓用戶，攻擊者通過投放恐嚇式廣告，謊稱用戶設備感染病毒，誘導其下載名為“TrustBastion”的誘餌應用。

用戶安裝“TrustBastion”后，應用會立即彈出偽裝成 Google Play 風格的強制更新提示。實際上，該應用本身并不直接包含惡意代碼，而是通過連接服務器，將用戶重定向至 Hugging Face 的數據集倉庫，下載真正的惡意 APK 文件。這種“分步加載”的方式增加了安全軟件的檢測難度。

為逃避殺毒軟件的查殺，“TrustBastion”采用了“服務端多態性”技術。該技術每隔 15 分鐘自動生成一個新的惡意代碼變種，通過改變代碼特征來規避特征碼掃描。調查顯示，涉事倉庫在短短 29 天內提交了超過 6000 次代碼更新，顯示出攻擊者的高頻操作和隱蔽意圖。即使原始倉庫被封禁，攻擊者仍迅速更換名稱和圖標，繼續利用相同代碼作惡。

惡意軟件一旦植入用戶設備，會以“安全需要”為由，強行請求安卓系統的“輔助功能服務”權限。獲得該權限后，惡意軟件即可完全控制手機，包括監控屏幕內容、執行滑動操作，甚至阻止用戶卸載應用。更危險的是，它會全天候連接命令與控制服務器，實時上傳竊取的數據。

在金融盜竊方面，該惡意軟件通過監控用戶活動，在用戶打開支付寶、微信等金融應用時，覆蓋一層偽造的登錄界面，誘騙用戶輸入賬號密碼。它還會嘗試竊取手機的鎖屏 PIN 碼，進一步擴大攻擊范圍。這種多層次的竊取手段，使得用戶財產面臨極大風險。

目前，網絡安全公司 Bitdefender 已向 Hugging Face 通報了相關情況，惡意數據集已被移除。然而，專家提醒用戶，仍需保持警惕，切勿通過第三方渠道下載應用，并仔細審查應用索取的權限，避免授予不必要的敏感權限。此次事件再次凸顯了開源平臺安全管理的復雜性，以及用戶提升安全意識的緊迫性。