Un repositorio malicioso en Hugging Face logró colarse en la lista de tendencias de la plataforma al hacerse pasar por el modelo de pesos abiertos Privacy Filter de OpenAI, con el objetivo de distribuir un ladrón de información escrito en Rust a usuarios de Windows. El proyecto, denominado Open-OSS/privacy-filter, suplantó a su contraparte legítima lanzada por OpenAI a finales del mes pasado (openai/privacy-filter), copiando íntegramente la descripción del modelo para engañar a usuarios desprevenidos. Hugging Face desactivó el acceso al modelo malicioso tras su detección.
Privacy Filter fue presentado en abril de 2026 por la empresa de inteligencia artificial como una herramienta para detectar y eliminar información personal identificable (PII) en texto no estructurado, con el objetivo de incorporar protecciones sólidas de privacidad y seguridad en las aplicaciones.
Según un informe del equipo de investigación de HiddenLayer publicado la semana pasada, "el repositorio había suplantado el lanzamiento legítimo de Privacy Filter de OpenAI, copiado su tarjeta de modelo casi textualmente, e incluido un archivo loader.py que descarga y ejecuta malware de tipo infostealer en máquinas Windows". El proyecto malicioso indicaba a los usuarios clonar el repositorio y ejecutar un script batch ('start.bat') en Windows o un script Python ('loader.py') en sistemas Linux o macOS para configurar todas las dependencias necesarias y ejecutar el modelo.
Al ejecutarse, el script Python activaba un código malicioso que deshabilitaba la verificación SSL, decodificaba una URL codificada en Base64 alojada en JSON Keeper, y la utilizaba para extraer un comando que se pasaba a PowerShell para su ejecución posterior. El uso de JSON Keeper, un servicio público de pegado de JSON, como servicio de entrega de señuelo (dead drop resolver) permitía a los atacantes cambiar los payloads sobre la marcha sin necesidad de modificar el repositorio.
El comando de PowerShell se utilizaba para descargar un script batch desde un servidor remoto ('api.eth-fastscan[.]org') y ejecutarlo mediante 'cmd.exe'. Dicho script batch funcionaba como un descargador de segunda etapa que preparaba el entorno: elevaba sus privilegios mediante un aviso de Control de Cuentas de Usuario (UAC), configuraba exclusiones de Microsoft Defender Antivirus, descargaba el binario de la siguiente etapa desde el mismo dominio, y establecía una tarea programada que lanzaba un script de PowerShell para ejecutar el ejecutable.
Una vez lanzada la tarea programada, el malware esperaba dos segundos antes de eliminarse a sí mismo. La etapa final era un ladrón de información diseñado para capturar capturas de pantalla y recolectar datos de Discord, billeteras y extensiones de criptomonedas, metadatos del sistema, archivos como configuraciones de FileZilla y frases semilla de billeteras, y navegadores web basados en los motores de renderizado Chromium y Gecko.
El equipo de HiddenLayer explicó: "A pesar de usar una tarea programada, esta etapa no establece persistencia: la tarea se destruye antes de cualquier reinicio. Se utiliza como un lanzador de contexto SYSTEM de un solo uso". El ladrón también ejecutaba comprobaciones para detectar depuradores y sandboxes, verificaba que no se estuviera ejecutando en una máquina virtual, e intentaba deshabilitar AMSI (Interfaz de Análisis de Antimalware de Windows) y ETW (Seguimiento de Eventos para Windows) para evadir la detección basada en comportamiento. Los datos robados se exfiltraban en formato JSON al dominio 'recargapopular[.]com'.
Antes de ser deshabilitado, el modelo supuestamente alcanzó la posición #1 en tendencias de Hugging Face con aproximadamente 244,000 descargas y 667 me gusta en 18 horas. Se sospecha que estas cifras fueron infladas artificialmente para dar al repositorio una apariencia de confianza y lograr que los usuarios lo descargaran.
Un análisis más profundo de la actividad reveló seis repositorios adicionales que presentaban un cargador Python similar para distribuir el mismo ladrón: anthfu/Bonsai-8B-gguf, anthfu/Qwen3.6-35B-A3B-APEX-GGUF, anthfu/DeepSeek-V4-Pro, anthfu/Qwopus-GLM-18B-Merged-GGUF, anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF, y anthfu/supergemma4-26b-uncensored-gguf-v2.
HiddenLayer también observó que el dominio 'api[.]eth-fastscan[.]org' se utilizó para servir un ejecutable de Windows diferente ('o0q2l47f.exe') que se comunicaba con 'welovechinatown[.]info', un servidor de comando y control (C2) previamente utilizado en una campaña en la que un paquete npm malicioso llamado 'trevlo' se empleó para distribuir ValleyRAT (también conocido como Winos 4.0).
La biblioteca de Node.js fue descargada más de 2,300 veces después de ser publicada por un usuario llamado 'titaniumg' el 4 de abril de 2026, aunque no está claro si el número de descargas fue inflado artificialmente mediante procesos automatizados. Ya no está disponible en npm.
Según informó Panther el mes pasado, "el hook de postinstalación del paquete ejecuta silenciosamente un cargador JavaScript ofuscado que genera un comando de PowerShell codificado en Base64, que a su vez descarga y ejecuta un script de PowerShell de segunda etapa desde una infraestructura controlada por el atacante. Ese script descarga y ejecuta un binario stager de Winos 4.0 ('CodeRun102.exe') con total evasión, incluyendo ejecución en ventana oculta, eliminación del identificador de zona y desacoplamiento del proceso".
El ataque es notable porque representa un nuevo vector de acceso inicial para ValleyRAT, un troyano de acceso remoto modular que se sabe es distribuido mediante correos electrónicos de phishing y envenenamiento de motores de búsqueda (SEO). El uso de ValleyRAT se atribuye exclusivamente a un grupo de hackers chino llamado Silver Fox.
HiddenLayer concluyó: "La infraestructura compartida sugiere que estas campañas están posiblemente vinculadas y probablemente forman parte de una operación más amplia de cadena de suministro dirigida a ecosistemas de código abierto".
