Repositorio falso de OpenAI alcanza el puesto #1 en Hugging Face—y robó contraseñas mientras era tendencia

En resumen

• Un repositorio malicioso de Hugging Face que impersonaba el modelo de Filtro de Privacidad de OpenAI alcanzó el tendencia #1 en la plataforma.
• El malware registró aproximadamente 244,000 descargas y 667 me gusta en menos de 18 horas antes de ser eliminado.
• El repositorio entregaba un infostealer de seis etapas que cosechaba contraseñas de navegador, tokens de Discord, claves de monederos de criptomonedas y credenciales SSH de máquinas con Windows—y luego enviaba todo silenciosamente a servidores controlados por los atacantes.

OpenAI lanzó Privacy Filter a finales de abril—un modelo pequeño, de peso abierto, diseñado para detectar y redactar automáticamente información personal identificable del texto. Se publicó en Hugging Face bajo una licencia Apache 2.0 y rápidamente atrajo interés de desarrolladores. Alguien se dio cuenta. En pocos días, una cuenta falsa llamada “Open-OSS” publicó un repositorio casi idéntico llamado privacy-filter. La tarjeta del modelo fue copiada palabra por palabra de la de OpenAI. La única diferencia en el archivo “readme”: instrucciones para clonar el repositorio y ejecutar un archivo llamado start.bat en Windows, o loader.py en Linux y Mac. En 18 horas, el repositorio falso alcanzó el puesto #1 en la página de tendencias de Hugging Face—acumulando aproximadamente 244,000 descargas y 667 me gusta. HiddenLayer, la firma de seguridad en IA que detectó la campaña, encontró que 657 de esos 667 me gusta provenían de cuentas que coincidían con patrones predecibles de nombres automáticos de bots.

Los números de descarga probablemente también estaban inflados de la misma manera. Prueba social fabricada para hacer que el cebo parezca real. Cómo funcionaba realmente el malware El malware básicamente funcionaba como una píldora envenenada envuelta en un recubrimiento de caramelo muy convincente. El script loader.py se abre con una salida falsa de entrenamiento de modelo—barras de progreso, conjuntos de datos sintéticos, nombres de clases ficticios—diseñado para parecer que un cargador de IA real está en ejecución. Bajo el capó, desactiva silenciosamente las verificaciones de seguridad, obtiene un comando codificado de un sitio público de JSON (un truco inteligente: no necesita actualizar el repositorio cuando cambia la carga útil), y pasa ese comando a PowerShell que se ejecuta completamente oculto en segundo plano. Los usuarios de Windows no ven nada. 

Ese comando descarga un segundo script desde un dominio que imita una API de análisis de blockchain. Ese script descarga el malware real—un infostealer personalizado escrito en Rust—lo añade a la lista de exclusiones de Windows Defender, y luego lo lanza con privilegios a nivel SYSTEM mediante una tarea programada que se elimina a sí misma inmediatamente después de ejecutarse. Toda la cadena se ejecuta y se limpia, dejando casi ninguna huella. La carga útil final es exhaustiva. Obtiene todo lo almacenado en Chrome y Firefox—contraseñas guardadas, cookies de sesión, historial del navegador, claves de cifrado, todo. Apunta a cuentas de Discord, frases semilla de monederos de criptomonedas, claves SSH, credenciales FTP, y toma capturas de pantalla en todos los monitores. Luego empaqueta todo como un paquete JSON comprimido y lo envía a servidores controlados por los atacantes. No hace falta que te digamos qué pueden hacer los hackers con toda esa información después. El malware también verifica si se está ejecutando en una máquina virtual o en un entorno de seguridad, y se cierra silenciosamente si detecta uno. Está diseñado para ejecutarse una sola vez en objetivos reales, robar todo y desaparecer. Por qué esto es más grande que solo un repositorio No es un incidente aislado. Es parte de un patrón. HiddenLayer identificó seis repositorios adicionales bajo una cuenta separada de Hugging Face llamada “anthfu”, subidos a finales de abril, usando exactamente el mismo cargador malicioso apuntando al mismo servidor de comandos. Esos repositorios impersonaban modelos como Qwen3, DeepSeek y Bonsai para atraer a desarrolladores de IA. La infraestructura en sí—un dominio llamado api.eth-fastscan.org—también fue observada alojando una muestra de malware separada que hace llamadas a un servidor de comandos. HiddenLayer cree que la conexión entre las dos campañas es “posiblemente vinculada” y advierte que solo la infraestructura compartida no confirma un único operador. Así es como se ve un ataque a la cadena de suministro contra la comunidad de desarrolladores de IA. El atacante no entra en OpenAI ni en Hugging Face. Solo publica un clon convincente, manipula el algoritmo de tendencias con bots, y espera que los desarrolladores hagan el resto. Un libro de jugadas similar impactó la biblioteca JavaScript Lottie Player en 2024, costándole a un usuario 10 Bitcoin (valorados en más de $700,000 en ese momento). ¿Y si lo descargaste? Si clonaste Open-OSS/privacy-filter en una máquina con Windows y ejecutaste cualquier archivo de allí, debes tratar el dispositivo como completamente comprometido. No inicies sesión en nada desde esa máquina antes de borrarla.

Luego, cambia todas las credenciales almacenadas en tu navegador—contraseñas, cookies de sesión, tokens OAuth. Mueve cualquier fondo de criptomonedas a una nueva cartera generada en un dispositivo limpio lo antes posible y asume que las frases semilla fueron robadas. Dado que también obtiene tu información de Discord, y ese servicio está muy automatizado, deberías invalidar tus sesiones de Discord y restablecer esa contraseña. Cualquier clave SSH o credencial FTP en esa máquina debe considerarse quemada. El repositorio ya fue eliminado. Hugging Face no ha divulgado qué medidas adicionales de revisión, si las hay, planea implementar para los repositorios en tendencia. Hasta ahora, se han identificado siete repositorios maliciosos confirmados de esta campaña. Cuántos más existen—o existían antes de ser detectados—sigue siendo desconocido.