Поддельный репозиторий OpenAI занял первое место на Hugging Face — и украл пароли, пока он был в тренде

Вкратце

• Вредоносный репозиторий Hugging Face, выдающий себя за модель Privacy Filter от OpenAI, достиг #1 в трендах платформы.
• Вредоносное ПО зарегистрировало примерно 244 000 загрузок и 667 лайков за менее чем 18 часов до удаления.
• Репозиторий содержал шестиэтапный инфостилер, который собирал пароли браузеров, токены Discord, ключи криптокошельков и SSH-учетные данные с Windows-машин — затем тихо отправлял всё на серверы злоумышленников.

OpenAI выпустила Privacy Filter в конце апреля — небольшую модель с открытым весом, созданную для обнаружения и автоматического редактирования личной информации в текстах. Она появилась на Hugging Face под лицензией Apache 2.0 и быстро привлекла интерес разработчиков. Кто-то заметил. В течение нескольких дней фальшивый аккаунт под названием “Open-OSS” опубликовал почти идентичный репозиторий под названием privacy-filter. Карточка модели была скопирована слово в слово с OpenAI. Единственное отличие в файле “readme”: инструкции клонировать репозиторий и запустить файл start.bat на Windows или loader.py на Linux и Mac. За 18 часов фальшивый репозиторий достиг #1 в разделе трендов Hugging Face — набрав примерно 244 000 загрузок и 667 лайков. Компания HiddenLayer, занимающаяся безопасностью ИИ и которая отметила эту кампанию, обнаружила, что 657 из этих 667 лайков пришли с аккаунтов, совпадающих с предсказуемыми шаблонами автоматического создания ботов.

Число загрузок, скорее всего, было искусственно завышено тем же способом. Созданное социальное доказательство, чтобы сделать приманку более правдоподобной. Как на самом деле работало вредоносное ПО Вредоносное ПО по сути работало как отравленная таблетка, обёрнутая в очень убедительную конфету. Скрипт loader.py начинается с фальшивого вывода о тренировке модели — прогресс-бары, синтетические датасеты, фиктивные имена классов — всё сделано так, чтобы выглядеть как реальный загрузчик ИИ. Под капотом оно тихо отключает проверки безопасности, извлекает закодированную команду с публичного сайта JSON-области (умный трюк: не нужно обновлять репозиторий при изменении полезной нагрузки) и передает эту команду PowerShell, полностью скрытую в фоновом режиме. Пользователи Windows ничего не видят. 

Эта команда скачивает второй скрипт с домена, имитирующего API аналитики блокчейна. Этот скрипт загружает настоящее вредоносное ПО — специально созданный инфостилер, написанный на Rust — добавляет его в список исключений Windows Defender, а затем запускает с привилегиями SYSTEM через запланированную задачу, которая сразу же удаляет себя после запуска. Вся цепочка работает и очищается, практически не оставляя следов. Финальный полезный груз очень тщательный. Он собирает всё, что сохранено в Chrome и Firefox — пароли, куки сессий, историю браузера, ключи шифрования — всё. Он нацеливается на аккаунты Discord, фразы-заготовки криптовалютных кошельков, SSH-ключи, FTP-учетные данные и делает скриншоты со всех мониторов. Затем всё упаковывает в сжатый JSON-архив и отправляет на серверы злоумышленников. Нам не нужно рассказывать, что хакеры могут сделать с этой информацией позже. Также вредоносное ПО проверяет, работает ли оно в виртуальной машине или в песочнице безопасности, и тихо завершает работу, если обнаружит таковую. Оно предназначено для однократного запуска на реальных целях, кражи всего и исчезновения. Почему это больше, чем просто один репозиторий Это не единичный инцидент. Это часть шаблона. HiddenLayer обнаружила еще шесть репозиториев под другим аккаунтом Hugging Face под названием “anthfu”, загруженных в конце апреля, использующих тот же самый вредоносный загрузчик, указывающий на тот же сервер команд. Эти репозитории выдавали модели вроде Qwen3, DeepSeek и Bonsai, чтобы заманить разработчиков ИИ. Инфраструктура — домен api.eth-fastscan.org — также был замечен в хостинге отдельного образца вредоносного ПО, который связывается с сервером команд. HiddenLayer считает, что связь между двумя кампаниями “возможно, есть” и предупреждает, что совместное использование инфраструктуры само по себе не подтверждает одного оператора. Вот как выглядит атака цепочки поставок против сообщества разработчиков ИИ. Злоумышленник не взламывает OpenAI или Hugging Face. Он просто публикует убедительно выглядящую копию, манипулирует алгоритмом трендов с помощью ботов и ждет, пока разработчики сделают остальное. Аналогичный сценарий произошел с библиотекой JavaScript Lottie Player в 2024 году, в результате чего один пользователь потерял 10 биткоинов (стоимостью более $700 000 на тот момент). Что делать, если вы его скачали? Если вы клонировали Open-OSS/privacy-filter на Windows и запустили любой файл из него, ваш устройство считается полностью скомпрометированным. Не входите в аккаунты с этого устройства, пока не выполните полную очистку.

После этого смените все учетные данные, сохранённые в браузере — пароли, куки сессий, OAuth-токены. Переведите любые криптовалютные средства на новый кошелек, созданный на чистом устройстве, как можно скорее, и предполагаете, что seed-фразы были украдены. Так как он также собирает информацию о вашем Discord, а этот сервис сильно автоматизирован, вам следует аннулировать сессии Discord и сбросить пароль. Все SSH-ключи или FTP-учетные данные на этом устройстве следует считать скомпрометированными. Репозиторий сейчас удален. Hugging Face не сообщил, какие дополнительные меры проверки он планирует внедрить для репозиториев в тренде. На данный момент подтверждены семь вредоносных репозиториев из этой кампании. Сколько еще существует — или существовало до обнаружения — остается неизвестным.