Repositório falso do OpenAI atingiu o #1 no Hugging Face—e roubou senhas enquanto estava em alta

Resumidamente

• Um repositório malicioso do Hugging Face, que imitava o modelo de Filtro de Privacidade da OpenAI, atingiu o #1 em tendências na plataforma.
• O malware registrou aproximadamente 244.000 downloads e 667 curtidas em menos de 18 horas antes de ser removido.
• O repositório entregou um infostealer de seis etapas que coletou senhas de navegador, tokens do Discord, chaves de carteiras de criptomoedas e credenciais SSH de máquinas Windows—e enviou tudo silenciosamente para servidores controlados pelo atacante.

A OpenAI lançou o Privacy Filter no final de abril—um modelo pequeno, de peso aberto, construído para detectar e redigir automaticamente informações pessoalmente identificáveis do texto. Ele foi disponibilizado no Hugging Face sob uma licença Apache 2.0 e rapidamente atraiu interesse de desenvolvedores. Alguém percebeu. Em poucos dias, uma conta falsa chamada “Open-OSS” publicou um repositório quase idêntico chamado privacy-filter. O cartão do modelo foi copiado palavra por palavra do da OpenAI. A única diferença no arquivo “readme”: instruções para clonar o repositório e executar um arquivo chamado start.bat no Windows, ou loader.py no Linux e Mac. Em 18 horas, o repositório falso atingiu o #1 na página de tendências do Hugging Face—acumulando aproximadamente 244.000 downloads e 667 curtidas. HiddenLayer, a empresa de segurança de IA que identificou a campanha, descobriu que 657 dessas 667 curtidas vieram de contas que correspondiam a padrões previsíveis de nomes de bots gerados automaticamente.

Os números de downloads quase certamente foram inflados da mesma forma. Prova social fabricada para fazer o isca parecer real. Como o malware realmente funcionava O malware basicamente funcionava como uma pílula envenenada envolta em uma camada de doce muito convincente. O script loader.py abre com uma saída falsa de treinamento de modelo—barras de progresso, conjuntos de dados sintéticos, nomes de classes fictícios—projetados para parecer que um carregador de IA real está em execução. Por baixo dos panos, ele desativa silenciosamente verificações de segurança, extrai um comando codificado de um site público de colagem JSON (um truque inteligente: sem necessidade de atualizar o repositório quando o payload muda), e passa esse comando para PowerShell rodando completamente oculto em segundo plano. Usuários do Windows não veem nada. 

Esse comando baixa um segundo script de um domínio que imita uma API de análise de blockchain. Esse script baixa o malware real—um infostealer personalizado escrito em Rust—adiciona-o à lista de exclusões do Windows Defender, e o lança com privilégios de SISTEMA via uma tarefa agendada que se exclui imediatamente após disparar. Toda a cadeia roda e se limpa, deixando quase nenhuma pista. A carga útil final é completa. Ela captura tudo armazenado no Chrome e Firefox—senhas salvas, cookies de sessão, histórico do navegador, chaves de criptografia, tudo. Ela mira contas do Discord, frases-semente de carteiras de criptomoedas, chaves SSH, credenciais FTP, e tira capturas de tela de todos os monitores. Depois, empacota tudo como um arquivo JSON comprimido e envia para servidores controlados pelo atacante. Não precisamos dizer o que os hackers podem fazer com todas essas informações depois. O malware também verifica se está rodando em uma máquina virtual ou sandbox de segurança, e sai silenciosamente se detectar uma. Foi projetado para rodar uma única vez em alvos reais, roubar tudo, e desaparecer. Por que isso é maior do que apenas um repositório Isso não é um incidente isolado. É parte de um padrão. HiddenLayer identificou seis repositórios adicionais sob uma conta separada do Hugging Face chamada “anthfu”, carregados no final de abril, usando o mesmo carregador malicioso apontando para o mesmo servidor de comandos. Esses repositórios imitavam modelos como Qwen3, DeepSeek e Bonsai para atrair desenvolvedores de IA. A infraestrutura em si—um domínio chamado api.eth-fastscan.org—também foi observada hospedando uma amostra de malware separada que faz beacon para um servidor de comandos. HiddenLayer acredita que a conexão entre as duas campanhas é “possivelmente vinculada” e alerta que infraestrutura compartilhada sozinha não confirma um único operador. É assim que funciona um ataque na cadeia de suprimentos contra a comunidade de desenvolvedores de IA. O atacante não invade a OpenAI ou Hugging Face. Eles apenas publicam uma cópia convincente, manipulam o algoritmo de tendências com bots, e esperam que os desenvolvedores façam o resto. Um roteiro semelhante atingiu a biblioteca JavaScript Lottie Player em 2024, custando a um usuário 10 Bitcoins (valendo mais de $700.000 na época). E se você o baixou? Se você clonou Open-OSS/privacy-filter em uma máquina Windows e executou qualquer arquivo dele, deve tratar o dispositivo como totalmente comprometido. Não faça login em nada dessa máquina antes de apagá-la.

Depois disso, troque todas as credenciais armazenadas no seu navegador—senhas, cookies de sessão, tokens OAuth. Transfira quaisquer fundos de criptomoedas para uma nova carteira gerada em um dispositivo limpo o mais rápido possível e assuma que frases-semente foram roubadas. Como também obtém suas informações do Discord, e esse serviço é altamente automatizado, você deve invalidar suas sessões do Discord e redefinir a senha. Quaisquer chaves SSH ou credenciais FTP nesse dispositivo devem ser consideradas queimadas. O repositório foi removido agora. O Huggingface não divulgou quais, se houver, medidas adicionais de triagem que planeja implementar para repositórios em tendência. Até o momento, sete repositórios maliciosos confirmados dessa campanha foram identificados. Quantos mais existem—ou existiam antes de serem detectados—permanece desconhecido.