Un repositorio falso de OpenAI en Hugging Face roba datos de 244.000 descargas

Un repositorio fraudulento en la plataforma de IA Hugging Face que suplantaba una herramienta de privacidad de OpenAI fue descargado 244.000 veces en menos de 18 horas, distribuyendo un malware de robo de información que comprometió credenciales de desarrolladores y billeteras de criptomonedas.

"El repositorio en sí hizo typosquatting de la versión legítima de Privacy Filter de OpenAI, copiando su tarjeta de modelo casi textualmente", señaló en un informe la firma de seguridad de IA HiddenLayer, que descubrió la campaña.

El repositorio falso, llamado Open-OSS/privacy-filter, utilizó cientos de cuentas de bots automatizados para inflar su recuento de "me gusta" a 667, lo que le ayudó a alcanzar el puesto número 1 de tendencias. El script loader.py incluido inició un ataque de seis etapas, desplegando finalmente un infostealer basado en Rust que recolectó contraseñas de navegadores, tokens de Discord y claves SSH.

El incidente resalta una vulnerabilidad crítica en la cadena de suministro de IA, donde los atacantes pueden explotar la naturaleza basada en la confianza de las plataformas de código abierto. Al suplantar modelos populares y manipular la prueba social, pueden convertir a la propia comunidad de desarrolladores en una red de distribución de malware, amenazando con incrustar riesgos de seguridad en proyectos corporativos y personales.

Cómo funcionaba el malware

El ataque fue un proceso de varias etapas diseñado para el sigilo y la efectividad. Después de que un usuario ejecutara el script inicial de Python, se ejecutaron una serie de acciones sin señales visibles para el usuario. El script primero mostraba salidas falsas de carga de modelos para parecer legítimo mientras desactivaba las comprobaciones de seguridad en segundo plano.

Luego extrajo un comando codificado de un sitio público de publicación de JSON, un método que permite a los atacantes actualizar las cargas útiles sin alterar el repositorio en sí. Este comando se pasó a PowerShell, que descargó un segundo script desde un dominio, api.eth-fastscan.org, que imitaba un servicio de análisis de blockchain. Este segundo script descargó la carga útil final: un infostealer personalizado escrito en Rust. Para evitar la detección, el malware se agregó a la lista de exclusión de Windows Defender antes de ejecutarse con privilegios elevados a través de una tarea programada que se eliminó inmediatamente después de la ejecución.

El infostealer fue diseñado para ser exhaustivo. Exfiltró contraseñas guardadas, cookies de sesión y claves de cifrado de los navegadores Chrome y Firefox. También apuntó a tokens de Discord, frases semilla de billeteras de criptomonedas, claves SSH y credenciales FTP, empaquetando los datos robados en un archivo JSON comprimido enviado a servidores controlados por los atacantes.

Una campaña coordinada

Este no fue un evento aislado. Los investigadores de HiddenLayer identificaron al menos otros seis repositorios maliciosos subidos por una cuenta de Hugging Face separada llamada "anthfu". Estos repositorios suplantaban otros modelos de IA populares, incluidos Qwen3, DeepSeek y Bonsai, y utilizaban el mismo script de carga malicioso que apuntaba a la misma infraestructura de comando y control.

La campaña demuestra un manual de estrategias claro para ataques a la cadena de suministro contra la comunidad de desarrolladores de IA. En lugar de vulnerar una plataforma directamente, los atacantes pueden publicar un clon convincente, usar bots para manipular los algoritmos de tendencias y esperar a que desarrolladores desprevenidos descarguen el malware.

Si clonó el repositorio Open-OSS/privacy-filter y ejecutó cualquier archivo del mismo en una máquina con Windows, los expertos en seguridad aconsejan tratar el dispositivo como totalmente comprometido. Deben cambiarse todas las credenciales almacenadas en los navegadores, mover los fondos cripto a nuevas billeteras y considerar cualquier clave SSH o FTP como robada y renovarla de inmediato.

Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.