Le dépôt OpenAI factice a atteint la première place sur Hugging Face—et a volé des mots de passe pendant qu'il était en tendance

En bref

• Un dépôt malveillant de Hugging Face imitant le modèle de filtre de confidentialité d’OpenAI a atteint la première place des tendances sur la plateforme.
• Le malware a enregistré environ 244 000 téléchargements et 667 likes en moins de 18 heures avant d’être supprimé.
• Le dépôt livrait un infostealer en six étapes qui récoltait les mots de passe du navigateur, les tokens Discord, les clés de portefeuille crypto, et les identifiants SSH depuis des machines Windows—puis envoyait silencieusement tout cela vers des serveurs contrôlés par l’attaquant.

OpenAI a lancé le filtre de confidentialité fin avril—un petit modèle à poids ouverts conçu pour détecter et automatiquement masquer les informations personnellement identifiables dans le texte. Il a été publié sur Hugging Face sous une licence Apache 2.0 et a rapidement attiré l’intérêt des développeurs. Quelqu’un a remarqué. En quelques jours, un faux compte nommé “Open-OSS” a publié un dépôt presque identique appelé privacy-filter. La fiche du modèle était copiée mot pour mot de celle d’OpenAI. La seule différence dans le fichier “readme” : des instructions pour cloner le dépôt et exécuter un fichier appelé start.bat sous Windows, ou loader.py sous Linux et Mac. En 18 heures, le faux dépôt a atteint la première place de la page des tendances de Hugging Face—recueillant environ 244 000 téléchargements et 667 likes. HiddenLayer, la société de sécurité IA qui a signalé la campagne, a découvert que 657 de ces 667 likes provenaient de comptes correspondant à des modèles de nommage automatique prévisibles de bots.

Les chiffres de téléchargement ont presque certainement été gonflés de la même manière. Une preuve sociale fabriquée pour faire paraître l’appât réel. Comment le malware fonctionnait réellement Le malware fonctionnait essentiellement comme une pilule empoisonnée enveloppée dans un revêtement de bonbon très convaincant. Le script loader.py s’ouvre avec une sortie simulée d’entraînement de modèle—barres de progression, jeux de données synthétiques, noms de classes fictifs—conçus pour ressembler à un vrai chargeur d’IA en cours d’exécution. Sous le capot, il désactive discrètement les vérifications de sécurité, récupère une commande encodée depuis un site de partage JSON public (une astuce intelligente : pas besoin de mettre à jour le dépôt lorsque la charge utile change), et transmet cette commande à PowerShell s’exécutant en arrière-plan de façon totalement invisible. Les utilisateurs Windows ne voient rien. 

Cette commande télécharge un second script depuis un domaine imitant une API d’analyse blockchain. Ce script télécharge le malware réel—un infostealer personnalisé écrit en Rust—l’ajoute à la liste des exclusions de Windows Defender, puis le lance avec des privilèges SYSTEM via une tâche planifiée qui se supprime immédiatement après son exécution. Toute la chaîne s’exécute et se nettoie après elle-même, laissant presque aucune trace. La charge utile finale est complète. Elle récupère tout ce qui est stocké dans Chrome et Firefox—mots de passe sauvegardés, cookies de session, historique du navigateur, clés de chiffrement, tout. Elle cible les comptes Discord, les phrases de récupération de portefeuille crypto, les clés SSH, les identifiants FTP, et prend des captures d’écran sur tous les moniteurs. Ensuite, elle empaquète tout en un bundle JSON compressé et l’envoie vers des serveurs contrôlés par l’attaquant. Il n’est pas nécessaire de vous dire ce que les hackers peuvent faire avec toutes ces informations par la suite. Le malware vérifie aussi s’il s’exécute dans une machine virtuelle ou un bac à sable de sécurité, et quitte silencieusement s’il en détecte un. Il est conçu pour ne fonctionner qu’une seule fois sur des cibles réelles, voler tout, puis disparaître. Pourquoi cela dépasse juste un dépôt Ce n’est pas un incident isolé. C’est une partie d’un schéma. HiddenLayer a identifié six autres dépôts sous un compte Hugging Face séparé nommé “anthfu”, téléchargés fin avril, utilisant le même chargeur malveillant pointant vers le même serveur de commandes. Ces dépôts imitaient des modèles comme Qwen3, DeepSeek, et Bonsai pour attirer les développeurs IA. L’infrastructure elle-même—un domaine appelé api.eth-fastscan.org—a aussi été observée hébergeant un échantillon de malware distinct qui communiquait avec un serveur de commandes. HiddenLayer pense que la connexion entre les deux campagnes est “peut-être liée” et avertit que le partage d’infrastructure seul ne confirme pas un seul opérateur. Voici à quoi ressemble une attaque de chaîne d’approvisionnement contre la communauté des développeurs IA. L’attaquant ne s’introduit pas dans OpenAI ou Hugging Face. Il publie simplement un clone convaincant, manipule l’algorithme de tendance avec des bots, et attend que les développeurs fassent le reste. Un playbook similaire a frappé la bibliothèque JavaScript Lottie Player en 2024, coûtant à un utilisateur 10 Bitcoin (valant plus de 700 000 $ à l’époque). Et si vous l’avez téléchargé ? Si vous avez cloné Open-OSS/privacy-filter sur une machine Windows et exécuté un fichier depuis ce dépôt, vous devriez considérer l’appareil comme entièrement compromis. Ne vous connectez à rien depuis cette machine avant de la formater.

Ensuite, changez toutes les identifiants stockés dans votre navigateur—mots de passe, cookies de session, tokens OAuth. Déplacez tous vos fonds crypto vers un nouveau portefeuille généré sur un appareil propre dès que possible et supposez que les phrases de récupération ont été volées. Puisqu’il récupère aussi vos informations Discord, et que ce service est fortement automatisé, vous devriez invalider vos sessions Discord et réinitialiser ce mot de passe. Tout clé SSH ou identifiant FTP sur cette machine doit être considéré comme brûlé. Le dépôt a été supprimé. Hugging Face n’a pas divulgué si, ou quelles, mesures supplémentaires de filtrage il prévoit pour les dépôts en tendance. À l’heure actuelle, sept dépôts malveillants confirmés issus de cette campagne ont été identifiés. Combien d’autres existent—ou existaient avant d’être détectés—reste inconnu.