O modelo de Filtro de Privacidade Falsificado atingiu o topo das tendências antes da remoção

Um repositório falso do OpenAI no Hugging Face acumulou cerca de 244.000 downloads. Estava em alta na plataforma antes de ser removido. O repositório falso entregava um ladrão em Rust que coletava dados do navegador, carteiras de criptomoedas e segredos de desenvolvedor em computadores Windows.

Pesquisadores de segurança da HiddenLayer detectaram o repositório malicioso sob o namespace “Open-OSS/privacy-filter.” Era um typo-squat do modelo de Filtro de Privacidade genuíno do OpenAI, lançado no mês passado.

A listagem falsa copiou o cartão do modelo do OpenAI e adicionou instruções dizendo aos usuários para clonar o repositório e executar o script.

Atacantes usaram uma cópia falsa do Filtro de Privacidade do OpenAI

O verdadeiro Filtro de Privacidade do OpenAI é um modelo de peso aberto que detecta e redige informações pessoalmente identificáveis no texto.

A versão genuína foi lançada sob uma licença Apache 2.0 através do Hugging Face e do GitHub. Esperava-se que o repositório real contivesse código executável e scripts de configuração.

Mas os atacantes exploraram as expectativas dos desenvolvedores. Publicaram um repositório semelhante sob um namespace diferente, com branding familiar e documentação quase idêntica.

Um arquivo Python chamado loader, que parecia código normal de carregamento de modelo, tinha uma classe DummyModel falsa e uma saída de treinamento falsa.

O script tinha uma função que desativava a verificação SSL, decodificava uma URL secreta e recebia comandos do JSON Keeper. JSON Keeper é um serviço público de colagem de JSON. Permite que o atacante troque cargas úteis sem interagir diretamente com o repositório.

O comando iniciava um processo oculto do Windows PowerShell. Um script em lote que imita uma API de análise de blockchain tentava aumentar privilégios.

Tentou adicionar exclusões do Microsoft Defender para o diretório da carga útil. O comando então liberava o binário final via uma tarefa agendada de uma única vez que parecia uma atualização do Microsoft Edge.

Em seguida, foi entregue um executável Rust de 1,07 MB. Ele extraía dados do navegador, tokens do Discord, arquivos de carteiras de criptomoedas, credenciais SSH, FTP e VPN. Os dados roubados eram enviados para um servidor de comando e controle (C2).

O malware também evitava máquinas virtuais, sandboxes e depuradores, caso pesquisadores configurassem uma análise automatizada.

Uma captura de tela do repositório falso do OpenAI. Fonte: HiddenLayer.

Os 244.000 downloads não significam infecções confirmadas. Ainda não se sabe quantos usuários executaram os arquivos maliciosos.

Nem o OpenAI nem o Hugging Face fizeram uma declaração pública. As evidências disponíveis apontam apenas para uma impersonação na plataforma. Não há comprometimento do OpenAI nem do Hugging Face.

O lançamento do Filtro de Privacidade do OpenAI gerou tráfego de busca por parte de desenvolvedores.

Passos para quem clonou o repositório

Qualquer pessoa que clonou o repositório e executou os scripts maliciosos deve considerar seu computador Windows comprometido. Reinstalar o sistema é a única solução eficaz para remover os arquivos maliciosos.

Entrar em qualquer conta no computador afetado corre o risco de maior exposição. Pesquisadores de segurança recomendam trocar todas as credenciais armazenadas em navegadores, gerenciadores de senhas ou cofres de credenciais no dispositivo. Isso inclui senhas salvas, cookies de sessão, tokens OAuth, chaves SSH e tokens de provedores de nuvem.

Fundos de criptomoedas devem ser transferidos para uma nova carteira criada em um dispositivo limpo.

Em março, pesquisadores de segurança identificaram um pacote npm malicioso disfarçado de instalador da ferramenta de IA OpenClaw. Ele visava senhas do sistema e carteiras de criptomoedas. Esse pacote, chamado GhostLoader, instalava-se como um serviço de telemetria oculto e escaneava os cofres de credenciais de agentes de IA.

Não leia apenas notícias de criptomoedas. Entenda-as. Assine nossa newsletter. É grátis.