Modelo de código aberto do OpenAI conquista o Hugging Face como campeão!
240 mil downloads escondem malware malicioso

Empresa de segurança cibernética HiddenLayer revela que um modelo malicioso falsificando o OpenAI Privacy Filter atingiu o topo das tendências no Hugging Face em apenas 18 horas, com mais de 240 mil downloads, escondendo um spyware de seis fases baseado em Rust, projetado para roubar senhas de navegador, frases-semente de carteiras de criptomoedas e chaves SSH.
(Resumindo: WSJ: Google se reúne com SpaceX para discutir avanço de “centro de dados de IA orbital”, com Elon Musk e seu exército de satélites de milhões de unidades em uma IPO épica)
(Complemento de contexto: Nova startup de segurança em IA, Depthfirst, anuncia vitória sobre o modelo Mythos da Anthropic! Detectando uma vulnerabilidade épica de 18 anos no NGINX, com custo de exploração de apenas 1/10)

Índice do artigo

Alternar

• Em 18 horas, atingiu o topo das tendências, com quase 90% dos likes de contas automatizadas
• Cadeia de ataque em seis fases: de imagens falsas de treinamento a roubo de permissões de sistema
• Focado em Chrome/Firefox, Discord, carteiras de criptomoedas
• Não é um evento isolado: pelo menos sete repositórios maliciosos já foram identificados
• O que fazer se você baixou?

No final de abril, a OpenAI lançou um modelo de código aberto chamado Privacy Filter — uma versão leve que detecta e mascara automaticamente informações pessoais identificáveis (PII) em textos, sob licença Apache 2.0, rapidamente atraindo a atenção de desenvolvedores. No entanto, essa popularidade também atraiu visitantes indesejados.

A empresa de segurança HiddenLayer revelou que uma conta falsa chamada “Open-OSS” publicou no Hugging Face um repositório quase idêntico, com o mesmo nome privacy-filter, cujo cartão do modelo copiou palavra por palavra a versão oficial da OpenAI. A única diferença está no arquivo readme — que orienta o usuário a baixar e executar start.bat (Windows) ou loader.py (Linux/Mac).

Em 18 horas, atingiu o topo das tendências, com quase 90% dos likes de contas automatizadas

Esse repositório falso alcançou o primeiro lugar no ranking de popularidade do Hugging Face em apenas 18 horas, acumulando cerca de 244.000 downloads e 667 curtidas. A HiddenLayer rastreou que 657 dessas curtidas vieram de contas que seguem o padrão de nomes de bots — ou seja, mais de 98% das interações sociais são falsas. Os números de downloads também provavelmente foram inflados com a mesma tática, criando uma falsa sensação de popularidade para enganar desenvolvedores legítimos.

Cadeia de ataque em seis fases: de imagens falsas de treinamento a roubo de permissões de sistema

Esse malware foi projetado com grande sofisticação. Quando executado, o arquivo loader.py exibe uma saída falsa de treinamento do modelo — barras de progresso, conjuntos de dados sintéticos, nomes de classes virtuais — parecendo um carregador de IA real em ação. Mas, nos bastidores, ele desativa silenciosamente as verificações de segurança, busca uma instrução codificada em uma postagem JSON pública, e a transmite para um PowerShell oculto.

Essa instrução baixa um segundo script de um domínio que finge ser uma API de análise de blockchain (api.eth-fastscan.org), que por sua vez baixa o payload malicioso real — um spyware personalizado escrito em Rust. Ele se auto-adiciona à lista de exclusões do Windows Defender, inicia com permissões SYSTEM via uma tarefa agendada, que se auto-exclui após execução, deixando quase nenhuma pista.

Focado em Chrome/Firefox, Discord, carteiras de criptomoedas

Esse spyware é “implacável”. Ele coleta todas as informações armazenadas no Chrome e Firefox — senhas, cookies de sessão, histórico de navegação, chaves criptográficas; mira contas do Discord, frases-semente de carteiras de criptomoedas, chaves SSH, credenciais FTP; e tira screenshots de todas as telas. Depois, compacta tudo em um arquivo JSON e envia para o servidor controlado pelo atacante.

Mais astuto ainda, o malware detecta se está sendo executado em uma máquina virtual ou ambiente sandbox de segurança, e, se sim, sai silenciosamente. Seu objetivo é atacar uma vítima real de uma só vez, roubar tudo e desaparecer sem deixar rastros.

Não é um evento isolado: pelo menos sete repositórios maliciosos já foram identificados

A HiddenLayer aponta que isso não é um caso isolado. Eles descobriram, sob o mesmo servidor de comandos, outros seis repositórios na conta “anthfu” no Hugging Face, todos usando o mesmo carregador malicioso, publicados no final de abril. Os modelos falsificados incluem Qwen3, DeepSeek e Bonsai, todos voltados para desenvolvedores de IA.

Os atacantes não invadiram o próprio Hugging Face ou OpenAI, mas criaram versões falsas convincentes, usando bots para inflar as posições nos rankings, esperando que desenvolvedores baixem e executem por conta própria. Essa tática já foi usada na cadeia de suprimentos da biblioteca JavaScript LottiePlayer em 2024, que causou a perda de 10 bitcoins (valor na época superior a 700 mil dólares) de um usuário.

O repositório falso já foi removido do Hugging Face, mas, até o momento, a plataforma não anunciou novos mecanismos de revisão de repositórios populares. São conhecidos sete repositórios maliciosos, mas o número de outros ainda não detectados ou que já foram excluídos permanece desconhecido.

O que fazer se você baixou?

Especialistas recomendam que, se você copiou Open-OSS/privacy-filter e executou qualquer arquivo nele, sua máquina está completamente comprometida — não faça login em nenhum serviço até limpar o sistema. Em seguida, troque todas as credenciais salvas no navegador, gere uma nova carteira em um dispositivo limpo e transfira imediatamente seus ativos de criptomoedas. As sessões do Discord devem ser invalidadas e as senhas alteradas, e chaves SSH e credenciais FTP também devem ser consideradas comprometidas.