Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Malware en Hugging Face suplanta modelo de OpenAI

Malware en Hugging Face suplanta modelo de OpenAI

por Dragora

Investigadores en ciberseguridad descubrieron una sofisticada campaña maliciosa en Hugging Face donde un repositorio fraudulento logró posicionarse entre los proyectos más populares de la plataforma haciéndose pasar por un modelo legítimo de OpenAI. El objetivo era distribuir un malware infostealer desarrollado en Rust capaz de robar información sensible de usuarios Windows.

El proyecto malicioso, identificado como “Open-OSS/privacy-filter”, imitaba el repositorio oficial “openAI/privacy-filter”, lanzado por OpenAI en abril de 2026 como una herramienta para detectar y anonimizar información personal identificable (PII) en textos.

La campaña evidencia una nueva evolución de los ataques a la cadena de suministro dirigidos contra plataformas de inteligencia artificial y ecosistemas de código abierto.

Qué es Privacy Filter de OpenAI

Privacy Filter fue presentado por OpenAI como una solución enfocada en privacidad y seguridad para aplicaciones de inteligencia artificial.

La herramienta permite identificar y censurar automáticamente:

  • Información personal identificable (PII)
  • Correos electrónicos
  • Números de teléfono
  • Direcciones físicas
  • Datos sensibles en texto no estructurado

El modelo ganó rápidamente popularidad dentro de la comunidad de desarrolladores debido al creciente interés en protección de datos e IA responsable.

Precisamente esta popularidad fue aprovechada por los atacantes para crear un clon malicioso extremadamente convincente.

Cómo el repositorio falso engañó a miles de usuarios

El repositorio fraudulento copiaba casi literalmente:

  • La descripción oficial del proyecto
  • La documentación técnica
  • La estructura visual del repositorio
  • El nombre relacionado con OpenAI

Según investigadores de HiddenLayer, el objetivo era generar confianza suficiente para que usuarios desprevenidos descargaran y ejecutaran el supuesto modelo.

Antes de ser eliminado por Hugging Face, el proyecto alcanzó el puesto número uno en tendencias dentro de la plataforma.

El repositorio acumuló:

  • Aproximadamente 244.000 descargas
  • Más de 667 “likes”
  • Alta visibilidad en solo 18 horas

Los investigadores sospechan que estas métricas fueron infladas artificialmente mediante automatización para crear una falsa sensación de legitimidad y popularidad.

El malware se distribuía mediante scripts falsos de instalación

El repositorio malicioso instruía a los usuarios a:

  • Clonar el proyecto
  • Ejecutar un archivo “start.bat” en Windows
  • O utilizar un script “loader.py” en Linux y macOS

Supuestamente, estos scripts configuraban dependencias necesarias para ejecutar el modelo de IA.

Sin embargo, el verdadero propósito era descargar y ejecutar malware.

El archivo Python “loader.py” actuaba como punto inicial de infección y contenía múltiples mecanismos de evasión y entrega de cargas útiles.

Cómo funciona el ataque del infostealer

Una vez ejecutado el script malicioso, se activaban varias etapas de infección.

Desactivación de seguridad SSL

El malware primero deshabilitaba la validación SSL para facilitar comunicaciones inseguras con servidores externos controlados por los atacantes.

Uso de JSON Keeper como dead drop resolver

Posteriormente, el script decodificaba una URL en Base64 almacenada en JSON Keeper.

Esta técnica permitía a los atacantes cambiar dinámicamente las cargas útiles sin modificar el repositorio original.

El uso de servicios públicos como dead drop resolvers se ha vuelto una táctica frecuente para dificultar la detección y bloqueo de infraestructura maliciosa.

Descarga de comandos PowerShell

La URL recuperada entregaba un comando PowerShell que posteriormente:

  • Descargaba scripts adicionales
  • Ejecutaba archivos batch
  • Instalaba nuevas etapas del malware

El dominio identificado en la campaña fue:

  • api.eth-fastscan[.]org

Segunda etapa: evasión y privilegios elevados

El archivo batch descargado actuaba como un descargador de segunda etapa mucho más avanzado.

Entre sus funciones estaban:

  • Solicitar elevación de privilegios mediante UAC
  • Configurar exclusiones en Microsoft Defender
  • Descargar binarios adicionales
  • Crear tareas programadas en Windows
  • Ejecutar malware bajo contexto SYSTEM

La tarea programada actuaba únicamente como lanzador temporal y luego era eliminada automáticamente, dificultando el análisis forense y la detección de persistencia.

Qué información roba el malware

La carga útil final era un infostealer desarrollado en Rust diseñado específicamente para robar grandes volúmenes de información sensible.

Entre los datos comprometidos se incluyen:

  • Credenciales almacenadas en navegadores
  • Tokens de Discord
  • Carteras de criptomonedas
  • Extensiones crypto
  • Frases semilla
  • Configuraciones de FileZilla
  • Capturas de pantalla
  • Metadatos del sistema

El malware apuntaba tanto a navegadores basados en Chromium como a aquellos basados en Gecko.

Entre los navegadores afectados se encuentran:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Brave

Toda la información robada era exfiltrada en formato JSON hacia servidores controlados por los atacantes.

Técnicas avanzadas de evasión

El malware incorporaba múltiples funciones avanzadas para evadir herramientas de seguridad.

Entre ellas:

  • Detección de depuradores
  • Detección de sandboxes
  • Comprobación de máquinas virtuales
  • Desactivación de AMSI
  • Desactivación de ETW

La desactivación de AMSI (Antimalware Scan Interface) y ETW (Event Tracing for Windows) permite ocultar comportamiento malicioso frente a soluciones EDR y antivirus modernos.

Seis repositorios adicionales también distribuían malware

HiddenLayer descubrió posteriormente otros seis repositorios relacionados que utilizaban el mismo cargador malicioso basado en Python.

Entre ellos:

  • anthfu/Bonsai-8B-gguf
  • anthfu/DeepSeek-V4-Pro
  • anthfu/supergemma4-26b-uncensored-gguf-v2

Todos estos proyectos aparentaban ser modelos legítimos de IA, pero en realidad distribuían el mismo infostealer.

Esto sugiere una campaña coordinada orientada específicamente al ecosistema open source de inteligencia artificial.

Relación con ValleyRAT y grupos chinos de amenazas

La investigación también reveló vínculos con campañas previas relacionadas con ValleyRAT, también conocido como Winos 4.0.

Investigadores observaron que la infraestructura utilizada por los atacantes coincidía con campañas anteriores donde paquetes NPM maliciosos distribuían malware mediante scripts PowerShell ofuscados.

Uno de los paquetes identificados fue:

  • trevlo

El malware descargaba ejecutables como “CodeRun102.exe” y utilizaba técnicas de evasión avanzadas, incluyendo:

  • Ventanas ocultas
  • Eliminación de identificadores de zona
  • Desacoplamiento de procesos

El uso de ValleyRAT ha sido atribuido previamente al grupo chino de amenazas conocido como Silver Fox.

Hugging Face y la nueva superficie de ataque de la IA

La campaña demuestra cómo las plataformas de inteligencia artificial se están convirtiendo rápidamente en objetivos prioritarios para ataques de cadena de suministro.

La creciente confianza de desarrolladores y empresas en modelos open source crea un escenario ideal para que actores maliciosos distribuyan malware disfrazado de herramientas legítimas.

El ecosistema de IA comparte riesgos similares a los observados anteriormente en:

  • npm
  • PyPI
  • GitHub
  • Docker Hub

Sin embargo, el rápido crecimiento de modelos abiertos está acelerando el atractivo de plataformas como Hugging Face para ciberdelincuentes.

Cómo protegerse de repositorios maliciosos en IA

Los expertos recomiendan varias medidas preventivas:

  • Verificar siempre el propietario del repositorio
  • Validar hashes y firmas digitales
  • Revisar cuidadosamente scripts de instalación
  • Evitar ejecutar archivos batch desconocidos
  • Analizar código antes de instalar modelos
  • Utilizar sandboxes para pruebas iniciales
  • Supervisar conexiones PowerShell y tráfico saliente

También se recomienda descargar modelos únicamente desde cuentas verificadas y revisar actividad sospechosa relacionada con tareas programadas o modificaciones de Defender.

Los ataques a la cadena de suministro en IA seguirán creciendo

El incidente demuestra que los ataques dirigidos a ecosistemas de inteligencia artificial están evolucionando rápidamente.

La combinación de:

  • Ingeniería social
  • Repositorios falsos
  • Popularidad artificial
  • Malware avanzado
  • Infraestructura compartida

convierte estas campañas en amenazas especialmente peligrosas para desarrolladores, investigadores y empresas que trabajan con modelos open source.

La seguridad de la cadena de suministro en IA se perfila ahora como uno de los principales desafíos emergentes dentro del panorama global de ciberseguridad.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!