Repositório falso do OpenAI atingiu o #1 no Hugging Face—e roubou senhas enquanto estava em alta

Em resumo

• Um repositório malicioso do Hugging Face que imitava o modelo de Filtro de Privacidade da OpenAI atingiu o #1 nas tendências da plataforma.
• O malware registou aproximadamente 244.000 downloads e 667 gostos em menos de 18 horas antes de ser removido.
• O repositório entregou um infostealer de seis fases que colheu senhas de navegador, tokens do Discord, chaves de carteiras de criptomoedas e credenciais SSH de máquinas Windows—depois enviou tudo silenciosamente para servidores controlados pelo atacante.

A OpenAI lançou o Filtro de Privacidade no final de abril—um pequeno modelo de peso aberto construído para detectar e redigir automaticamente informações pessoalmente identificáveis do texto. Ele foi disponibilizado no Hugging Face sob uma licença Apache 2.0 e rapidamente atraiu interesse de desenvolvedores. Alguém percebeu. Em poucos dias, uma conta falsa chamada “Open-OSS” publicou um repositório quase idêntico chamado privacy-filter. O cartão do modelo foi copiado palavra por palavra do da OpenAI. A única diferença no arquivo “readme”: instruções para clonar o repositório e executar um arquivo chamado start.bat no Windows, ou loader.py no Linux e Mac. Em 18 horas, o repositório falso atingiu o #1 na página de tendências do Hugging Face—acumulando aproximadamente 244.000 downloads e 667 gostos. HiddenLayer, a empresa de segurança de IA que identificou a campanha, descobriu que 657 desses 667 gostos vieram de contas que correspondiam a padrões previsíveis de nomes de bots gerados automaticamente.

Os números de downloads foram quase certamente inflacionados da mesma forma. Prova social fabricada para fazer o isco parecer real. Como o malware realmente funcionava O malware basicamente funcionava como uma pílula envenenada envolta numa cobertura de doce muito convincente. O script loader.py abre com uma saída falsa de treinamento de modelo—barras de progresso, conjuntos de dados sintéticos, nomes de classes fictícios—destinados a parecer que um carregador de IA real está em execução. Por baixo dos panos, ele desativa silenciosamente verificações de segurança, extrai um comando codificado de um site público de colagem JSON (um truque inteligente: sem necessidade de atualizar o repositório quando o payload muda), e passa esse comando para PowerShell rodando completamente oculto em segundo plano. Os utilizadores do Windows não veem nada. 

Esse comando baixa um segundo script de um domínio que imita uma API de análise de blockchain. Esse script baixa o malware real—um infostealer personalizado escrito em Rust—adiciona-o à lista de exclusões do Windows Defender, e então o lança com privilégios de SISTEMA via uma tarefa agendada que se exclui imediatamente após disparar. Toda a cadeia roda e limpa após si mesma, deixando quase nenhuma pista. A carga útil final é completa. Ela captura tudo armazenado no Chrome e Firefox—senhas salvas, cookies de sessão, histórico do navegador, chaves de criptografia, tudo. Ela mira contas do Discord, frases-semente de carteiras de criptomoedas, chaves SSH, credenciais FTP, e tira capturas de ecrã em todos os monitores. Depois empacota tudo como um pacote JSON comprimido e envia para servidores controlados pelo atacante. Não precisamos dizer o que os hackers podem fazer com toda essa informação posteriormente. O malware também verifica se está a ser executado numa máquina virtual ou numa sandbox de segurança, e sai silenciosamente se detectar uma. É projetado para rodar uma vez em alvos reais, roubar tudo, e desaparecer. Por que isto é maior do que apenas um repositório Isto não é um incidente isolado. É parte de um padrão. HiddenLayer identificou mais seis repositórios sob uma conta separada do Hugging Face chamada “anthfu”, carregados no final de abril, usando o mesmo carregador malicioso apontando para o mesmo servidor de comandos. Esses repositórios imitavam modelos como Qwen3, DeepSeek, e Bonsai para atrair desenvolvedores de IA. A infraestrutura em si—um domínio chamado api.eth-fastscan.org—também foi observada hospedando uma amostra de malware separada que faz beacon para um servidor de comandos. HiddenLayer acredita que a ligação entre as duas campanhas é “possivelmente vinculada” e alerta que infraestrutura compartilhada por si só não confirma um único operador. É assim que um ataque à cadeia de suprimentos contra a comunidade de desenvolvedores de IA se apresenta. O atacante não invade a OpenAI ou Hugging Face. Eles apenas publicam uma cópia convincente, manipulam o algoritmo de tendências com bots, e esperam que os desenvolvedores façam o resto. Um manual semelhante atingiu a biblioteca JavaScript Lottie Player em 2024, custando a um usuário 10 Bitcoin (valores superiores a 700.000 dólares na altura). E se você o tiver descarregado? Se você clonou Open-OSS/privacy-filter numa máquina Windows e executou qualquer arquivo dele, deve tratar o dispositivo como totalmente comprometido. Não faça login em nada a partir dessa máquina antes de a limpar.

Depois, altere todas as credenciais armazenadas no seu navegador—senhas, cookies de sessão, tokens OAuth. Transfira quaisquer fundos de criptomoedas para uma nova carteira gerada num dispositivo limpo o mais rápido possível e assuma que frases-semente foram roubadas. Como também obtém informações do Discord, e esse serviço é altamente automatizado, deve invalidar as sessões do Discord e redefinir a senha. Quaisquer chaves SSH ou credenciais FTP nesse dispositivo devem ser consideradas queimadas. O repositório foi agora removido. O Hugging Face não revelou quais, se é que há, medidas adicionais de triagem que planeja implementar para repositórios em tendência. Até agora, sete repositórios maliciosos confirmados desta campanha foram identificados. Quantos mais existem—ou existiam antes de serem detectados—permanece desconhecido.