Un repositorio malicioso de Hugging Face logró ocupar un lugar en la lista de tendencias de la plataforma al hacerse pasar por el modelo de peso abierto del filtro de privacidad de OpenAI para ofrecer un ladrón de información basado en Rust a los usuarios de Windows.
El proyecto, llamado Open-OSS/privacy-filter, se hizo pasar por su contraparte legítima, lanzado por OpenAI a fines del mes pasado (openai/privacy-filter), incluida la copia de la descripción completa palabra por palabra para engañar a los usuarios desprevenidos para que lo descarguen. Desde entonces, Hugging Face ha desactivado el acceso al modelo malicioso.
El filtro de privacidad fue presentado en abril de 2026 por la empresa de inteligencia artificial (IA) como una forma de detectar y redactar información de identificación personal (PII) en texto no estructurado con el objetivo de incorporar sólidas protecciones de privacidad y seguridad en las aplicaciones.
«El repositorio había escrito errores tipográficos en la versión legítima del filtro de privacidad de OpenAI, copió su tarjeta modelo casi palabra por palabra y envió un archivo loader.py que recupera y ejecuta malware de robo de información en máquinas con Windows», dijo el equipo de investigación de HiddenLayer en un informe publicado la semana pasada.
El proyecto malicioso indica a los usuarios que clonen el repositorio y ejecuten un script por lotes («start.bat») para Windows o un script Python («loader.py») para sistemas Linux o macOS para configurar todas las dependencias necesarias e iniciar el modelo.
Una vez iniciado, el script Python activa un código malicioso responsable de deshabilitar la verificación SSL, decodificar una URL codificada en Base64 alojada en JSON Keeper y usarla para extraer un comando que se pasa a PowerShell para su posterior ejecución. El uso de JSON Keeper, un servicio público de pegado de JSON, como solucionador de entrega muerta permite a los atacantes cambiar cargas útiles sobre la marcha sin necesidad de modificar el repositorio.
El comando PowerShell se usa para descargar un script por lotes desde un servidor remoto («api.eth-fastscan(.)org») y ejecutarlo usando «cmd.exe». El script por lotes funciona como un descargador de segunda etapa que prepara el entorno elevando sus privilegios mediante un mensaje de Control de cuentas de usuario (UAC), configurando exclusiones de Microsoft Defender Antivirus, descargando el binario de la siguiente etapa desde el mismo dominio y configurando una tarea programada que inicia un script de PowerShell para ejecutar el ejecutable.
Una vez que se inicia la tarea programada, el malware espera dos segundos antes de eliminarse. La etapa final es un ladrón de información diseñado para tomar capturas de pantalla y recopilar datos de Discord, billeteras y extensiones de criptomonedas, metadatos del sistema, archivos como configuraciones de FileZilla y frases iniciales de billetera, y navegadores web basados en los motores de renderizado Chromium y Gecko.
«A pesar de utilizar una tarea programada, esta etapa no establece persistencia: la tarea se destruye antes de reiniciar. Se utiliza como un iniciador de contexto de SISTEMA de una sola vez», explicó HiddenLayer.
El ladrón también ejecuta comprobaciones para detectar depuradores y entornos sandbox, verifica que no se está ejecutando en una máquina virtual e intenta deshabilitar la interfaz de escaneo antimalware de Windows (AMSI) y el seguimiento de eventos para Windows (ETW) para evadir la detección de comportamiento. Los datos robados se exfiltran en formato JSON al dominio «recargapopular(.)com».
Antes de ser desactivado, se dice que el modelo alcanzó la posición número 1 en tendencia en Hugging Face con aproximadamente 244.000 descargas y 667 me gusta en 18 horas. Se sospecha que estos números fueron inflados artificialmente para darle al repositorio una ilusión de confianza y lograr que los usuarios lo descargaran.
Un análisis más profundo de la actividad ha descubierto seis repositorios más que cuentan con un cargador de Python similar para implementar el ladrón:
- anthfu/Bonsai-8B-gguf
- anthfu/Qwen3.6-35B-A3B-APEX-GGUF
- anthfu/DeepSeek-V4-Pro
- anthfu/Qwopus-GLM-18B-Ferged-GGUF
- anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
- anthfu/supergemma4-26b-sin censura-gguf-v2
HiddenLayer dijo que también observó que el dominio «api(.)eth-fastscan(.)org» se utilizaba para servir un ejecutable de Windows diferente («o0q2l47f.exe») que apunta a «welovechinatown(.)info», un servidor de comando y control (C2) que se utilizó previamente en una campaña que aprovechó un paquete npm malicioso llamado trevlo para entregar ValleyRAT (también conocido como Winos 4.0).
«El gancho postinstalación del paquete ejecuta silenciosamente un cargador de JavaScript ofuscado que genera un comando de PowerShell codificado en base64, que a su vez recupera y ejecuta un script de PowerShell de segunda etapa desde la infraestructura controlada por el atacante», señaló Panther el mes pasado.
«Ese script descarga y ejecuta un binario stager de Winos 4.0 («CodeRun102.exe») con evasión completa, completo con ejecución de ventana oculta, eliminación del identificador de zona y separación de procesos».
El ataque es digno de mención por el hecho de que representa un nuevo vector de acceso inicial para ValleyRAT, un troyano modular de acceso remoto que se sabe que se distribuye a través de correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda (SEO). El uso de ValleyRAT se atribuye exclusivamente a un grupo de hackers chino llamado Silver Fox.
«La infraestructura compartida sugiere que estas campañas posiblemente estén vinculadas y probablemente formen parte de una operación de cadena de suministro más amplia dirigida a ecosistemas de código abierto», dijo HiddenLayer.