Repositório malicioso no Hugging Face se passa por lançamento da OpenAI e distribui malware ladrão de dados
Um repositório malicioso hospedado na plataforma Hugging Face, que se apresentava como um lançamento oficial da OpenAI, conseguiu registrar aproximadamente 244 mil downloads antes de ser removido, segundo pesquisas realizadas pela empresa de segurança especializada em inteligência artificial HiddenLayer. O caso chama a atenção para os crescentes riscos de segurança nos repositórios públicos de modelos de inteligência artificial, que se tornaram um novo vetor de ataque à cadeia de suprimentos de software.
O repositório fraudulento, identificado como Open-OSS/privacy-filter, utilizava uma técnica conhecida como typosquatting, que consiste em criar nomes semelhantes a projetos legítimos para enganar desenvolvedores. Na prática, o repositório imitava fielmente o projeto Privacy Filter da OpenAI, copiando quase que integralmente a descrição original do modelo. A diferença crucial estava nos arquivos incluídos: além dos arquivos aparentemente legítimos, o repositório continha um arquivo loader.py malicioso que, quando executado em máquinas Windows, baixava e executava um malware capaz de roubar credenciais.
O repositório fraudulento conseguiu alcançar a primeira posição entre os repositórios em alta na plataforma Hugging Face em menos de 18 horas, acumulando 667 curtidas. Pesquisadores apontam, contudo, que a grande maioria dessas contas parece ter sido gerada automaticamente pelos próprios invasores para inflar artificialmente a popularidade do repositório e torná-lo mais confiável aos olhos de potenciais vítimas.
A HiddenLayer revelou que o loader.py começava com um código aparentemente legítimo, que imitava um carregador normal de modelos de inteligência artificial. No entanto, rapidamente executava uma cadeia de infecção oculta. O script desabilitava a verificação SSL, decodificava uma URL codificada em base64 associada ao serviço jsonkeeper.com, recuperava instruções de um payload remoto e passava comandos para o PowerShell em máquinas Windows. O uso do serviço jsonkeeper.com como intermediário permitia que os atacantes trocassem o payload malicioso sem precisar alterar o conteúdo do repositório.
O comando PowerShell subsequentemente baixava um arquivo adicional de lote a partir de um domínio controlado pelos invasores. O malware estabelecia persistência no sistema criando uma tarefa agendada projetada para se assemelhar a um processo legítimo de atualização do Microsoft Edge, dificultando a detecção pelos usuários.
O payload final consistia em um ladrão de informações desenvolvido na linguagem de programação Rust. De acordo com a HiddenLayer, o malware tinha como alvo navegadores baseados em Chromium e Firefox, armazenamento local do Discord, carteiras de criptomoedas, configurações do FileZilla e informações do sistema host. O software malicioso também tentava desabilitar a Interface de Verificação de Malware do Windows e o Rastreamento de Eventos, ambos mecanismos de proteção do sistema operacional.
Além do repositório principal, a HiddenLayer identificou seis outros repositórios na Hugging Face que continham lógica de carregamento praticamente idêntica e compartilhavam a mesma infraestrutura usada no ataque documentado. O caso se soma a outros alertas anteriores sobre modelos de inteligência artificial maliciosos na plataforma, incluindo SDKs de IA contaminados e instaladores falsos do OpenClaw.
Sakshi Grover, gerente sênior de pesquisa em serviços de cibersegurança da IDC, comentou que as ferramentas tradicionais de análise de composição de software foram projetadas para inspecionar manifestos de dependências, bibliotecas e imagens de contêineres. Essas ferramentas são menos eficazes na identificação de lógicas de carregamento maliciosas em repositórios de inteligência artificial. A executiva citou o relatório FutureScape de novembro de 2025 da IDC, que previa que até 2027, 60% dos sistemas de inteligência artificial agentivos deveriam contar com uma lista de materiais, o que ajudaria as empresas a rastrear quais artefatos de IA utilizam, sua origem, quais versões foram aprovadas e se contêm componentes executáveis.
A HiddenLayer recomendou que qualquer pessoa que tenha clonado o repositório Open-OSS/privacy-filter e executado o arquivo start.bat, python loader.py ou qualquer arquivo do repositório em um sistema Windows trate a máquina como comprometida. A recomendação inclui a reimagem completa dos sistemas afetados. As sessões do navegador também devem ser consideradas comprometidas, mesmo que as senhas não estejam armazenadas localmente, uma vez que os cookies de sessão podem permitir que invasores ignorem a autenticação multifator em algumas circunstâncias. A plataforma Hugging Face confirmou que o repositório foi removido.
