Falso modelo de código aberto do OpenAI vence na Hugging Face! 240 mil downloads escondem malware

Empresa de cibersegurança HiddenLayer revela que um modelo malicioso, falsificando o Filtro de Privacidade da OpenAI, atingiu o topo das tendências na Hugging Face em apenas 18 horas, com mais de 240 mil downloads, escondendo um spyware de seis fases baseado em Rust, que visa senhas de navegador, frases-semente de carteiras de criptomoedas e chaves SSH.
(Resumindo: WSJ: Google em reunião secreta com SpaceX discute avanço de “centro de dados de IA orbital”, enquanto a frota de satélites de Musk alcança IPO épico)
(Complemento: Nova startup de segurança em IA, Depthfirst, anuncia vitória sobre o modelo Mythos da Anthropic! Descobre vulnerabilidade de 18 anos no NGINX, com custo de exploração 1/10 do normal)

Índice do artigo

Alternar

• Atingiu o topo em 18 horas, quase 90% dos likes vêm de contas automatizadas
• Cadeia de ataque em seis fases: de imagens falsas de treinamento a roubo de permissões de sistema
• Foca no Chrome/Firefox, Discord, carteiras de criptomoedas
• Não é um evento isolado: pelo menos sete repositórios maliciosos já foram identificados
• O que fazer se você baixou?

No final de abril, a OpenAI lançou um modelo de código aberto chamado Privacy Filter — uma versão leve que detecta e mascara automaticamente informações pessoais identificáveis (PII) no texto, sob licença Apache 2.0, rapidamente atraindo atenção de desenvolvedores. No entanto, essa popularidade também atraiu visitantes indesejados.

A empresa de segurança HiddenLayer revelou que uma conta falsa chamada “Open-OSS” publicou na Hugging Face um repositório quase idêntico, com o mesmo nome privacy-filter, cujo cartão do modelo copiou palavra por palavra a versão oficial da OpenAI. A única diferença está no arquivo readme — que orienta o usuário a baixar e executar start.bat (Windows) ou loader.py (Linux/Mac).

Atingiu o topo em 18 horas, quase 90% dos likes vêm de contas automatizadas

Esse repositório falso alcançou o primeiro lugar na lista de tendências da Hugging Face em apenas 18 horas, com cerca de 244.000 downloads e 667 curtidas. A HiddenLayer rastreou que 657 dessas curtidas vieram de contas que seguem o padrão de nomes de bots — ou seja, mais de 98% do engajamento social é falso. Os downloads também provavelmente foram inflados com a mesma tática, criando uma falsa sensação de popularidade para enganar desenvolvedores reais.

Cadeia de ataque em seis fases: de imagens falsas de treinamento a roubo de permissões de sistema

Esse malware foi projetado com bastante sofisticação. Quando executado, o arquivo loader.py exibe uma saída falsa de treinamento do modelo — barras de progresso, conjuntos de dados sintéticos, nomes de classes virtuais — parecendo um carregador de IA real. Mas, nos bastidores, ele desliga silenciosamente as verificações de segurança, busca uma instrução codificada em uma postagem JSON pública, e a transmite para uma PowerShell oculta.

A instrução baixa um segundo script de um domínio que finge ser uma API de análise de blockchain (api.eth-fastscan.org), que por sua vez baixa o payload malicioso real — um spyware personalizado escrito em Rust. Ele se auto-adiciona à lista de exclusões do Windows Defender, inicia com permissões SYSTEM via uma tarefa agendada, que se auto-deleta após executar, deixando quase nenhum rastro.

Foca no Chrome/Firefox, Discord, carteiras de criptomoedas

Esse spyware é “implacável”. Ele coleta todas as informações salvas no Chrome e Firefox — senhas, cookies de sessão, histórico de navegação, chaves criptográficas; mira em contas do Discord, frases-semente de carteiras, chaves SSH, credenciais FTP; e tira screenshots de todas as telas. Depois, compacta tudo em um arquivo JSON e envia para o servidor controlado pelo atacante.

Mais astuto ainda, ele detecta se está rodando em uma máquina virtual ou sandbox de segurança, e, se sim, sai silenciosamente. Seu objetivo é atacar uma vítima real de uma só vez, roubar tudo e desaparecer sem deixar rastros.

Não é um evento isolado: pelo menos sete repositórios maliciosos já foram identificados

A HiddenLayer aponta que isso não é um caso isolado. Eles descobriram, sob o mesmo servidor de comandos, outros seis repositórios na Hugging Face sob a conta “anthfu”, todos usando o mesmo carregador malicioso, publicados no final de abril. Esses modelos falsos incluem Qwen3, DeepSeek e Bonsai, todos voltados a desenvolvedores de IA.

Os atacantes não invadiram o próprio OpenAI ou a Hugging Face, mas criaram versões falsas convincentes, usando bots para inflar a popularidade, esperando que desenvolvedores baixem e executem por conta própria. Essa tática já foi usada em 2024 na cadeia de suprimentos da biblioteca JavaScript LottiePlayer, que causou a perda de 10 bitcoins (valor na época superior a 70 mil dólares) a um usuário.

O repositório falso já foi removido pela Hugging Face, mas, até o momento, a plataforma não anunciou um novo mecanismo de revisão de repositórios populares. São conhecidos sete repositórios maliciosos, mas o número de outros ainda não detectados ou já deletados permanece desconhecido.

O que fazer se você baixou?

Especialistas recomendam que, se você copiou Open-OSS/privacy-filter no Windows e executou qualquer arquivo, deve considerar o dispositivo completamente comprometido — não fazer login em nenhum serviço até limpar. Depois, troque todas as credenciais salvas no navegador, gere uma nova carteira em um dispositivo limpo e transfira imediatamente seus ativos de criptomoedas. As sessões do Discord devem ser invalidadas e as senhas redefinidas, e chaves SSH e credenciais FTP também devem ser consideradas comprometidas.