O modelo de Filtro de Privacidade Falsificado atingiu o topo das tendências antes da remoção

Um repositório falso do OpenAI no Hugging Face acumulou cerca de 244.000 downloads. Ele estava em alta na plataforma antes de ser removido. O repositório falso entregava um ladrão de Rust que puxava dados do navegador, carteiras de criptomoedas e segredos de desenvolvedores em computadores Windows.

Pesquisadores de segurança da HiddenLayer detectaram o repositório malicioso sob o namespace “Open-OSS/privacy-filter.” Era um typo-squat do modelo de Filtro de Privacidade genuíno do OpenAI, lançado no mês passado.

A listagem falsa copiou o cartão do modelo do OpenAI e adicionou instruções dizendo aos usuários para clonar o repositório e executar o script.

Atacantes usaram uma cópia falsa do OpenAI Privacy Filter

O Privacy Filter real do OpenAI é um modelo de peso aberto que detecta e redige informações pessoalmente identificáveis no texto.

O lançamento genuíno foi sob uma licença Apache 2.0 tanto no Hugging Face quanto no GitHub. Esperava-se que o repositório verdadeiro contivesse código executável e scripts de configuração.

Mas os atacantes exploraram as expectativas dos desenvolvedores. Eles publicaram um repositório semelhante sob um namespace diferente, com branding familiar e documentação quase idêntica.

Um arquivo Python chamado loader, que parecia código normal de carregamento de modelo, tinha uma classe DummyModel falsa e uma saída de treinamento falsa.

O script tinha uma função que desativava a verificação SSL, decodificava uma URL secreta e recebia um comando do JSON Keeper. JSON Keeper é um serviço público de colagem de JSON. Permite que o atacante troque cargas úteis sem interagir diretamente com o repositório.

O comando iniciava um processo oculto do Windows PowerShell. Um script em lote que imita uma API de análise de blockchain tentou aumentar privilégios.

Ele tentou adicionar exclusões do Microsoft Defender para o diretório da carga útil. O comando então liberou o binário final via uma tarefa agendada de uma única execução que parecia um atualizador do Microsoft Edge.

Em seguida, foi entregue um executável Rust de 1,07 MB. Ele extraía dados do navegador, tokens do Discord, arquivos de carteiras de criptomoedas, credenciais SSH, FTP e VPN. Os dados roubados eram enviados para um servidor de comando e controle (C2).

O malware também evitava máquinas virtuais, sandboxes e depuradores, caso pesquisadores configurassem uma análise automatizada.

Uma captura de tela do repositório falso do OpenAI. Fonte: HiddenLayer.

Os 244.000 downloads não significam infecções confirmadas. Ainda não se sabe quantos usuários executaram os arquivos maliciosos.

Nem o OpenAI nem o Hugging Face fizeram uma declaração pública. As evidências disponíveis apontam apenas para uma impersonação na plataforma. Não há comprometimento do OpenAI nem do Hugging Face.

O lançamento do Privacy Filter do OpenAI gerou tráfego de busca por parte dos desenvolvedores.

Passos para quem clonou o repositório

Qualquer pessoa que clonou o repositório e executou os scripts maliciosos deve considerar seu computador Windows comprometido. Reinstalar o sistema é a única solução eficaz para remover os arquivos maliciosos.

Fazer login em qualquer conta no computador afetado corre o risco de maior exposição. Pesquisadores de segurança recomendam trocar todas as credenciais armazenadas em navegadores, gerenciadores de senhas ou cofres de credenciais no dispositivo. Isso inclui senhas salvas, cookies de sessão, tokens OAuth, chaves SSH e tokens de provedores de nuvem.

Fundos de criptomoedas devem ser transferidos para uma nova carteira criada em um dispositivo saudável.

Em março, pesquisadores de segurança identificaram um pacote npm malicioso disfarçado de instalador da ferramenta de IA OpenClaw. Ele visava senhas do sistema e carteiras de criptomoedas. Esse pacote, chamado GhostLoader, se instalava como um serviço de telemetria oculto e escaneava por cofres de credenciais de agentes de IA.

Não leia apenas notícias de criptomoedas. Entenda-as. Assine nossa newsletter. É grátis.