El modelo de Filtro de Privacidad Falsificado alcanzó la tendencia principal antes de ser eliminado

Un repositorio falso de OpenAI en Hugging Face acumuló aproximadamente 244,000 descargas. Estaba en tendencia en la plataforma antes de ser eliminado. El repositorio falso entregaba un ladrón de Rust que extraía datos del navegador, carteras de criptomonedas y secretos de desarrolladores en computadoras con Windows.

Los investigadores de seguridad en HiddenLayer detectaron el repositorio malicioso bajo el espacio de nombres “Open-OSS/privacy-filter.” Era un typosquat del modelo de Filtro de Privacidad genuino de OpenAI, que fue lanzado el mes pasado.

La lista falsa copió la tarjeta del modelo de OpenAI y añadió instrucciones diciendo a los usuarios que clonaran el repositorio y ejecutaran el script.

Los atacantes usaron un OpenAI Privacy Filter falso

El verdadero Filtro de Privacidad de OpenAI es un modelo de peso abierto que detecta y redacts información personal identificable en texto.

El lanzamiento genuino fue bajo una licencia Apache 2.0 tanto en Hugging Face como en GitHub. Los desarrolladores esperaban encontrar código ejecutable y scripts de configuración en el repositorio real.

Pero los atacantes explotaron las expectativas de los desarrolladores. Publicaron un repositorio similar bajo un espacio de nombres diferente con branding familiar y documentación casi idéntica.

Un archivo Python llamado loader, que parecía código normal de carga de modelos, tenía una clase DummyModel falsa y una salida de entrenamiento falsa.

El script tenía una función que deshabilitaba la verificación SSL, decodificaba una URL secreta y recibía un comando desde JSON Keeper. JSON Keeper es un servicio público de pegado de JSON. Permite al atacante intercambiar cargas útiles sin interactuar con el repositorio.

El comando iniciaba un proceso oculto de PowerShell en Windows. Un script por lotes que imita una API de análisis de blockchain intentó aumentar privilegios.

Intentó agregar exclusiones de Microsoft Defender para el directorio de la carga útil. Luego, el comando liberó el binario terminado mediante un trabajo programado de una sola vez que parecía una actualización de Microsoft Edge.

Luego, se entregó un ejecutable de Rust de 1.07 MB. Extraía datos del navegador, tokens de Discord, archivos de carteras de criptomonedas, credenciales SSH, FTP y VPN. Los datos robados se enviaban a un servidor de comando y control (C2).

El malware también evitaba máquinas virtuales, sandbox y depuradores en caso de que los investigadores configuraran un análisis automatizado.

Una captura de pantalla del repositorio falso de OpenAI. Fuente: HiddenLayer.

Las 244,000 descargas no significan infecciones confirmadas. Se desconoce cuántos usuarios ejecutaron los archivos maliciosos.

Ni OpenAI ni Hugging Face emitieron una declaración pública. La evidencia disponible apunta solo a una suplantación de plataforma. No hay compromiso ni de OpenAI ni de Hugging Face.

El lanzamiento del Filtro de Privacidad de OpenAI generó tráfico de búsqueda de desarrolladores.

Pasos para quienes clonaron el repositorio

Cualquier persona que clonara el repositorio y ejecutara los scripts maliciosos debe considerar que su máquina con Windows está comprometida. Reinstalar el sistema es la única solución efectiva para eliminar los archivos maliciosos.

Iniciar sesión en cualquier cuenta en la máquina afectada corre el riesgo de una mayor exposición. Los investigadores de seguridad recomiendan rotar cada credencial almacenada en navegadores, gestores de contraseñas o almacenes de credenciales en el dispositivo. Eso incluye contraseñas guardadas, cookies de sesión, tokens OAuth, claves SSH y tokens de proveedores en la nube.

Los fondos de criptomonedas deben transferirse a una nueva cartera creada en un dispositivo limpio.

En marzo, los investigadores de seguridad identificaron un paquete npm malicioso disfrazado de instalador para la herramienta de IA OpenClaw. Apuntaba a contraseñas del sistema y carteras de criptomonedas. Ese paquete, llamado GhostLoader, se instalaba como un servicio de telemetría oculto y escaneaba los almacenes de credenciales de agentes de IA.

No solo leas noticias de criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.