El supuesto modelo de OpenAI de código abierto gana en Hugging Face ¡Con 240,000 descargas oculta malware!

Empresa de ciberseguridad HiddenLayer revela que un modelo malicioso que imita el Filtro de Privacidad de OpenAI alcanzó la cima de tendencias en Hugging Face en solo 18 horas, con más de 240,000 descargas, y oculta un secuestrador de información en seis etapas que se dirige a contraseñas de navegador, frases semilla de monederos de criptomonedas y claves SSH.
(Resumen previo: WSJ: Google en reuniones secretas con SpaceX para impulsar un “centro de datos de IA orbital”, la flota de satélites de Musk en una OPI épica)
(Información adicional: La startup de seguridad IA Depthfirst anuncia que supera al modelo Mythos de Anthropic ¡Descubre una vulnerabilidad épica en NGINX con 18 años de historia, con un costo de detección solo 1/10!)

Índice de este artículo

Alternar

• En 18 horas alcanzó la cima, casi el 90% de los “me gusta” son de cuentas automatizadas
• Cadena de ataque en seis etapas: desde pantallas de entrenamiento falsas hasta robo de permisos a nivel de sistema
• Enfocado en Chrome/Firefox, Discord, monederos de criptomonedas
• No es un evento aislado: al menos siete repositorios maliciosos han sido identificados
• ¿Qué hacer si lo descargaste?

A finales de abril, OpenAI lanzó un modelo de código abierto llamado Privacy Filter—un modelo liviano que puede detectar y enmascarar automáticamente información personal identificable (PII) en textos, y fue publicado bajo la licencia Apache 2.0 en Hugging Face, atrayendo rápidamente la atención de muchos desarrolladores. Sin embargo, esta tendencia también atrajo a visitantes no deseados.

La empresa de ciberseguridad HiddenLayer revela que una cuenta falsa llamada “Open-OSS” publicó en Hugging Face un repositorio casi idéntico, con el mismo nombre privacy-filter, y la tarjeta del modelo copió palabra por palabra la versión oficial de OpenAI. La única diferencia está en el archivo readme—que guía a los usuarios a descargar y ejecutar start.bat (Windows) o loader.py (Linux/Mac).

En 18 horas alcanzó la cima, casi el 90% de los “me gusta” son de cuentas automatizadas

Este repositorio falso alcanzó en solo 18 horas el primer lugar en la lista de tendencias de Hugging Face, con aproximadamente 244,000 descargas y 667 “me gusta”. HiddenLayer rastreó que 657 de esos “me gusta” provenían de cuentas que cumplen con el patrón de nombres de bots automatizados—es decir, más del 98% de las señales sociales eran falsas. Es muy probable que las cifras de descargas también hayan sido infladas con la misma técnica, creando una falsa sensación de popularidad para atraer a desarrolladores reales.

Cadena de ataque en seis etapas: desde pantallas de entrenamiento falsas hasta robo de permisos a nivel de sistema

El diseño de este malware es bastante sofisticado. Cuando se ejecuta loader.py, primero muestra una salida falsa de entrenamiento del modelo—barra de progreso, conjunto de datos sintéticos, nombres de clases virtuales—parece que un cargador de IA real está en marcha. Pero en segundo plano, cierra silenciosamente las verificaciones de seguridad, obtiene un fragmento de código desde un sitio web de publicaciones JSON públicas, y lo pasa a PowerShell oculto para su ejecución.

Esa instrucción descarga un segundo script desde un dominio que finge ser una API de análisis blockchain (api.eth-fastscan.org), y desde allí descarga el payload malicioso real—un secuestrador de información escrito en Rust. Este se autoagrega a la lista de exclusiones de Windows Defender, se inicia con permisos SYSTEM a través de una tarea programada, y una vez en marcha, se elimina a sí mismo casi sin dejar rastro.

Enfocado en Chrome/Firefox, Discord, monederos de criptomonedas

Este secuestrador de información no deja nada sin revisar. Extrae todos los datos almacenados en Chrome y Firefox—contraseñas, cookies de sesión, historial de navegación, claves cifradas; apunta a cuentas de Discord, frases semilla de monederos de criptomonedas, claves SSH, credenciales FTP; y además toma capturas de pantalla de todas las pantallas. Finalmente, empaqueta toda la información en un archivo JSON comprimido y lo envía a un servidor controlado por los atacantes.

Más astuto aún, el malware detecta si se está ejecutando en una máquina virtual o en un entorno sandbox de seguridad, y si es así, se cierra silenciosamente. Está diseñado para atacar una sola vez, robar todo y desaparecer sin dejar rastro.

No es un evento aislado: al menos siete repositorios maliciosos han sido identificados

HiddenLayer señala que esto no es un incidente aislado. En el mismo servidor de comandos, encontraron otro repositorio en Hugging Face llamado “anthfu” que aloja seis repositorios con el mismo cargador malicioso, subidos a finales de abril. Los modelos falsos incluyen Qwen3, DeepSeek y Bonsai, todos dirigidos a desarrolladores de IA.

Los atacantes no hackean directamente OpenAI ni Hugging Face, sino que publican versiones falsas muy convincentes, usan bots para impulsar su popularidad, y esperan que los desarrolladores las descarguen y ejecuten por sí mismos. Este guion ya se vio en 2024 en un ataque a la cadena de suministro de la biblioteca JavaScript LottiePlayer, que provocó que un usuario perdiera 10 bitcoins (valor en ese momento superior a 700,000 dólares).

El repositorio falso ya fue eliminado por Hugging Face, pero hasta el momento, la plataforma no ha anunciado ningún mecanismo de revisión para repositorios populares. Se conocen siete repositorios maliciosos, pero aún no se sabe cuántos más están ocultos o ya han sido eliminados.

¿Qué hacer si lo descargaste?

Los expertos en seguridad recomiendan que si has copiado Open-OSS/privacy-filter en un equipo con Windows y ejecutaste cualquiera de sus archivos, debes considerar ese dispositivo completamente comprometido—no ingresar a ningún servicio desde esa máquina hasta limpiar por completo. Luego, cambia todas las credenciales almacenadas en el navegador, genera una nueva cartera en un dispositivo limpio y transfiere inmediatamente los fondos de criptomonedas. Las sesiones de Discord deben invalidarse y las contraseñas cambiarse, y las claves SSH y credenciales FTP deben considerarse comprometidas y rotarse.