- Um repositório malicioso no Hugging Face, que se passava por um lançamento da OpenAI, entregou malware infostealer em máquinas Windows e teve cerca de 244 mil downloads antes de ser removido.
- Os atacantes podem ter inflado artificialmente o número de downloads para parecer mais popular, dificultando medir o alcance real do ataque.
- O repositório falso imitava o registro Open-OSS/privacy-filter e incluía um arquivo loader.py malicioso que buscava e executava o malware nos hosts.
- O loader.py iniciava com código disfarçado de carregador de modelo e, em seguida, executava cadeia de infecção via PowerShell no Windows, com instruções para baixar um payload adicional de domínio controlado pelo atacante.
- O payload final era um infostealer em Rust, que visava navegadores baseados em Chromium, armazenamento local do Discord, carteiras de criptomoedas e outras informações do sistema; houve tentativas de desativar deteção do Windows.
- A HiddenLayer identificou seis repositórios adicionais no Hugging Face com lógica de loader similar, indicando uma campanha mais ampla.
- A recomendação é evitar clonar projetos de terceiros de ambientes corporativos e, se houver clonagem de repositório comprometido, tratar o sistema como comprometido e re-imaginar a máquina. Hugging Face removeu o repositório.
Um repositório malicioso no Hugging Face se passou por uma liberação da OpenAI e entregou malware de coleta de dados a máquinas Windows, gerando cerca de 244 mil downloads antes de ser removido, segundo pesquisa da empresa de segurança HiddenLayer. A operação ocorreu no ambiente público de modelos de IA e envolveu o modelo fraudulento Open-OSS/privacy-filter.
Segundo a HiddenLayer, o modelo falsificado imitava o registro de privacidade da OpenAI e continha um loader.py malicioso que buscava e executava malware capaz de roubar credenciais em hosts Windows. A página de README do suposto modelo quase não apresentava diferenças relevantes para o leitor comum, mas instruía usuários a rodar start.bat no Windows ou python loader.py no Linux e macOS, etapas centrais à infecção.
Panorama e alcance
Os repositórios chegaram ao topo da seção de tendências do Hugging Face, com 667 curtidas em menos de 18 horas, número que pode ter sido inflado pelos atacantes. Registros públicos de IA podem representar riscos maiores na cadeia de suprimentos de software, pois desenvolvedores clonam modelos diretamente em ambientes corporativos com acesso a código-fonte e credenciais.
A HiddenLayer descreveu um loader.py com código de disfarce que parece um carregador de modelo, seguido de uma cadeia de infecção ocultável. O script desabilita a verificação SSL, decodifica uma URL base64 ligada ao jsonkeeper.com e obtém instruções de payload remoto, passando comandos para PowerShell no Windows.
Detalhes operacionais
A carga final continha um stealer escrito em Rust, que mirou navegadores Chromium e derivados, armazenamento local do Discord, carteiras de criptomoedas, configurações do FileZilla e informações do sistema hospedeiro. O malware também tentou desativar a interface de verificação de malware do Windows e o tracing de eventos.
A HiddenLayer identificou ainda seis repositórios adicionais no Hugging Face com lógica de loader semelhante, vinculados à mesma infraestrutura. Casos anteriores já haviam alertado para código malicioso em arquivos de modelo e scripts de configuração de registries públicos.
Contexto técnico e mitigação
Especialistas destacam que o problema não está apenas no modelo, mas em arquivos periféricos como scripts de instalação e dependências. A IDC aponta que, até 2027, 60% dos sistemas de IA agentiva devem ter uma lista de materiais para rastrear artefatos, fontes e versões aprovadas.
Para mitigar, pesquisadores recomendam reimagens de sistemas afetados e tratamento de sessões de navegador como comprometidas mesmo sem senhas locais, já que cookies podem contornar MFA em alguns casos. A Hugging Face confirmou a remoção do repositório problemático, enquanto a comunidade reforça a necessidade de maior visibilidade e verificação em pipelines de IA.
Entre na conversa da comunidade