El repositorio malicioso Hugging Face llegó a la lista de tendencias de la plataforma al hacerse pasar por el modelo de peso abierto del filtro de privacidad de OpenAI y ofrecer un ladrón de información basado en Rust a los usuarios de Windows.
El proyecto, llamado Open-OSS/privacy-filter, pretendía ser la versión legítima lanzada por OpenAI a fines del mes pasado (openai/privacy-filter) y copió la descripción completa palabra por palabra para engañar a los usuarios desprevenidos para que lo descargaran. Luego, Hugging Face deshabilitó el acceso a este modelo malicioso.
Las empresas de inteligencia artificial (IA) anunciaron filtros de privacidad en abril de 2026 como una forma de detectar y redactar información de identificación personal (PII) en texto no estructurado con el objetivo de crear sólidas protecciones de privacidad y seguridad en las aplicaciones.
«El repositorio estaba escribiendo errores en la versión legítima del filtro de privacidad de OpenAI, copiando su tarjeta modelo casi palabra por palabra y enviando un archivo loader.py que buscaba y ejecutaba el malware de robo de información en máquinas con Windows», dijo el equipo de investigación de HiddenLayer en un informe publicado la semana pasada.
El proyecto malicioso indica al usuario que clone el repositorio y ejecute un script por lotes (‘start.bat’) en Windows o un script Python (‘loader.py’) en sistemas Linux o macOS para configurar todas las dependencias necesarias e iniciar el modelo.
Cuando se inicia el script Python, activa código malicioso que se utiliza para deshabilitar la validación SSL, decodificar URL codificadas en Base64 alojadas en JSON Keeper y extraer comandos que se pasan a PowerShell para su posterior ejecución. JSON Keeper, un servicio público de pegado de JSON, se puede utilizar como solucionador de entrega muerta para permitir a los atacantes cambiar cargas útiles sobre la marcha sin cambiar el repositorio.
Los comandos de PowerShell se utilizan para descargar un script por lotes desde un servidor remoto (‘api.eth-fastscan(.)org’) y ejecutarlo mediante ‘cmd.exe’. Los scripts por lotes pueden elevar los privilegios a través de indicaciones de Control de cuentas de usuario (UAC), configurar exclusiones de Microsoft Defender Antivirus, descargar archivos binarios de la siguiente etapa desde el mismo dominio y scripts de PowerShell para ejecutar ejecutables.
Una vez que se inicia la tarea programada, el malware espera 2 segundos antes de eliminarse. La etapa final es un ladrón de información diseñado para tomar capturas de pantalla y recopilar datos de Discord, billeteras y extensiones de criptomonedas, metadatos del sistema, archivos como configuraciones de FileZilla y frases iniciales de billetera, y navegadores web basados en los motores de renderizado Chromium y Gecko.
«A pesar de utilizar una tarea programada, no se establece ninguna persistencia en esta etapa. La tarea se destruye antes de reiniciar. Se utiliza como un iniciador contextual del SISTEMA de un solo uso», explicó HiddenLayer.
El ladrón también ejecuta comprobaciones para detectar depuradores y entornos sandbox para garantizar que no se estén ejecutando en una máquina virtual, e intenta evadir la detección de comportamiento desactivando la interfaz de escaneo antimalware de Windows (AMSI) y el seguimiento de eventos para Windows (ETW). Los datos robados se filtran al dominio «recargapopular(.)com» en formato JSON.
Antes de ser desactivado, el modelo supuestamente recibió alrededor de 244.000 descargas y 667 me gusta en 18 horas, alcanzando el número uno en tendencia en Hugging Face, pero se sospecha que estos números fueron inflados artificialmente para darle credibilidad al repositorio y alentar a los usuarios a descargarlo.
Un análisis más detallado de la actividad reveló seis repositorios más con cargadores de Python similares para implementar el ladrón.
anthfu/Bonsai-8B-gguf anthfu/Qwen3.6-35B-A3B-APEX-GGUF anthfu/DeepSeek-V4-Pro anthfu/Qwopus-GLM-18B-Merged-GGUF anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF anthfu/supergemma4-26b-gguf-v2 sin censura
HiddenLayer también declaró que observó que el dominio «api(.)eth-fastscan(.)org» se utilizaba para servir otro ejecutable de Windows («o0q2l47f.exe») que apuntaba a «welovechinatown(.)info». Este servidor es un servidor de comando y control (C2) que se usó anteriormente en una campaña que utilizó un paquete npm malicioso llamado trevlo para distribuir ValleyRAT (también conocido como Winos 4.0).
Panther señaló el mes pasado que «el gancho posterior a la instalación del paquete ejecuta silenciosamente un cargador de JavaScript ofuscado que genera comandos de PowerShell codificados en base64 para buscar y ejecutar un script de PowerShell de segunda etapa desde la infraestructura controlada por el atacante».
«El script descarga y ejecuta el binario stager de Winos 4.0 (‘CodeRun102.exe’), completo con una omisión completa, ejecutándose en una ventana oculta, eliminando el identificador de zona y desconectando el proceso».
Este ataque se destaca por el hecho de que representa un nuevo vector de acceso inicial para ValleyRAT, un troyano modular de acceso remoto que se distribuye a través de correos electrónicos de phishing y envenenamiento de optimización de motores de búsqueda (SEO). Se cree que el uso de ValleyRAT es únicamente por parte de un grupo de hackers chino llamado Silver Fox.
«La infraestructura compartida sugiere que estas campañas pueden estar relacionadas y probablemente formar parte de una actividad más amplia de la cadena de suministro dirigida al ecosistema de código abierto», dijo HiddenLayer.
Source link
