5 min lectura
OpenAI lanzó Privacy Filter a finales de abril—un modelo pequeño de código abierto diseñado para detectar y redactar automáticamente información de identificación personal de textos. Llegó a Hugging Face bajo una licencia Apache 2.0 y rápidamente atrajo el interés de desarrolladores. Alguien lo notó.
En cuestión de días, una cuenta falsa llamada "Open-OSS" publicó un repositorio casi idéntico llamado privacy-filter. La tarjeta del modelo fue copiada palabra por palabra desde la de OpenAI. La única diferencia en el archivo "readme": instrucciones para clonar el repositorio y ejecutar un archivo llamado start.bat en Windows, o loader.py en Linux y Mac.
En 18 horas, el repositorio falso alcanzó el puesto #1 en la página de tendencias de Hugging Face, acumulando aproximadamente 244.000 descargas y 667 "me gusta". HiddenLayer, la firma de seguridad de IA que detectó la campaña, encontró que 657 de esos 667 "me gusta" provenían de cuentas con patrones de nombres autogenerados predecibles, propios de bots.
Las cifras de descargas casi con certeza fueron infladas de la misma manera. Prueba social fabricada para hacer que el anzuelo pareciera real.
El malware funcionó básicamente como una píldora envenenada envuelta en un caramelo muy convincente. El script loader.py se abre con una falsa salida de entrenamiento de modelos—barras de progreso, conjuntos de datos sintéticos, nombres de clases ficticios—diseñada para parecer que se está ejecutando un cargador real de IA.
Por debajo, desactiva silenciosamente las verificaciones de seguridad, extrae un comando codificado desde un sitio público de pegado en formato JSON (un truco inteligente: no es necesario actualizar el repositorio cuando cambia el payload), y pasa ese comando a PowerShell, que se ejecuta completamente oculto en segundo plano. Los usuarios de Windows no ven nada.
Ese comando descarga un segundo script desde un dominio que imita una API de análisis blockchain. Ese script descarga el malware real—un infostealer personalizado escrito en Rust—lo añade a la lista de exclusiones de Windows Defender y luego lo ejecuta con privilegios de nivel SYSTEM mediante una tarea programada que se elimina automáticamente tras ejecutarse. Toda la cadena corre y borra sus rastros, dejando casi ninguna huella.
El payload final es exhaustivo. Extrae todo lo almacenado en Chrome y Firefox: contraseñas guardadas, cookies de sesión, historial del navegador, claves de cifrado, todo. Apunta a cuentas de Discord, frases semilla de billeteras de criptomonedas, claves SSH, credenciales FTP y toma capturas de pantalla en todos los monitores. Luego empaqueta todo en un bundle JSON comprimido y lo envía a servidores controlados por el atacante.
No hace falta decir lo que los hackers pueden hacer con toda esa información.
El malware también verifica si se está ejecutando en una máquina virtual o en un sandbox de seguridad, y se cierra silenciosamente si detecta uno. Está diseñado para ejecutarse una sola vez en objetivos reales, robar todo y desaparecer.
No es un incidente aislado. Es parte de un patrón. HiddenLayer identificó seis repositorios adicionales bajo una cuenta separada de Hugging Face llamada "anthfu", subidos a finales de abril, utilizando exactamente el mismo cargador malicioso que apunta al mismo servidor de comandos. Esos repositorios se hacían pasar por modelos como Qwen3, DeepSeek y Bonsai para atraer a desarrolladores de IA.
La propia infraestructura—un dominio llamado api.eth-fastscan.org—fue también identificada alojando una muestra de malware separada que se conecta a un servidor de comandos. HiddenLayer considera que el vínculo entre las dos campañas es "posiblemente relacionado" y advierte que la infraestructura compartida por sí sola no confirma un único operador.
Así es como se ve un ataque a la cadena de suministro contra la comunidad de desarrolladores de IA. El atacante no irrumpe en OpenAI ni en Hugging Face. Simplemente publica un imitador convincente, manipula el algoritmo de tendencias con bots y espera a que los desarrolladores hagan el resto. Un método similar afectó a la biblioteca JavaScript Lottie Player en 2024, costándole a un usuario 10 Bitcoin (con un valor superior a $700.000 en ese momento).
Si clonaste Open-OSS/privacy-filter en una máquina con Windows y ejecutaste algún archivo, debes considerar el dispositivo como completamente comprometido. No inicies sesión en nada desde esa máquina antes de formatearla.
Después de eso, cambia todas las credenciales almacenadas en tu navegador: contraseñas, cookies de sesión, tokens OAuth. Transfiere cualquier fondo cripto a una nueva billetera generada en un dispositivo limpio lo antes posible y asume que las frases semilla fueron robadas.
Dado que también obtiene tu información de Discord, y ese servicio está altamente automatizado, debes invalidar tus sesiones de Discord y restablecer esa contraseña. Cualquier clave SSH o credencial FTP en esa máquina debe considerarse comprometida.
El repositorio ya fue eliminado. Hugging Face no ha revelado qué medidas adicionales de verificación, si es que planea implementar alguna, aplicará a los repositorios en tendencia.
Hasta ahora, se han identificado siete repositorios maliciosos confirmados de esta campaña. Cuántos más existen—o existieron antes de ser detectados—sigue siendo desconocido.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.