На платформі Hugging Face виявили фальшивий репозиторій, який видавав себе за офіційний AI-інструмент від OpenAI. За менш ніж добу він вийшов у топ трендів і набрав близько 244 тисяч завантажень, паралельно заражаючи Windows-системи шкідливим ПЗ для крадіжки даних.
Шкідливий репозиторій на Hugging Face зумів піднятися на перше місце у трендах платформи, видаючи себе за легітимну open-weight модель Privacy Filter від OpenAI. Насправді ж користувачам Windows підсовували Rust-інфостілер, який крав паролі, криптогаманці, Discord-токени та інші конфіденційні дані.
Репозиторій під назвою Open-OSS/privacy-filter майже повністю копіював справжній проєкт, (openai/privacy-filter) який OpenAI випустила наприкінці квітня 2026 року. Зловмисники буквально перенесли опис моделі, оформлення та документацію, щоб створити враження офіційного релізу. Після виявлення кампанії Hugging Face заблокував доступ до шкідливого репозиторію.
Сама модель Privacy Filter була створена для виявлення та редагування персональних даних у неструктурованому тексті. OpenAI позиціонувала її як інструмент для захисту приватності в AI-додатках, здатний приховувати email-адреси, телефони, адреси та іншу чутливу інформацію.
У HiddenLayer пояснили, що фальшивий репозиторій містив файл loader.py, який завантажував та запускав шкідливе ПЗ на Windows-системах.
«Репозиторій допустив помилку в легітимному випуску фільтра конфіденційності OpenAI, майже дослівно скопіював його картку моделі та надіслав файл loader.py, який отримує та виконує шкідливе програмне забезпечення infostealer на машинах Windows», — зазначили дослідники HiddenLayer.
Користувачам пропонували клонувати репозиторій та запустити start.bat для Windows або loader.py для Linux і macOS нібито для встановлення залежностей і запуску моделі. Але після запуску Python-скрипт активував ланцюг зараження.
Шкідливий код вимикав SSL-перевірку, отримував Base64-закодовану адресу через сервіс JSON Keeper та передавав PowerShell-команду для подальшого виконання. Використання JSON Keeper як dead drop resolver дозволяло операторам змінювати payload без редагування самого репозиторію.
Далі PowerShell завантажував BAT-файл із домену api.eth-fastscan[.]org і запускав його через cmd.exe. Скрипт другого етапу підвищував привілеї через UAC, додавав виключення в Microsoft Defender, завантажував наступний payload і створював scheduled task для його запуску.
Після виконання завдання шкідливий скрипт видаляв себе через дві секунди. Фінальний payload являв собою Rust-інфостілер, який викрадав:
дані Discord
криптовалютні гаманці та seed-фрази
browser cookies і паролі
файли конфігурації FileZilla
системну інформацію
дані браузерів Chromium та Gecko
У HiddenLayer також звернули увагу, що malware не використовував постійну persistence-механіку. Scheduled task працював лише один раз у SYSTEM-контексті та видалявся до перезавантаження системи.
Окрім цього, шкідливе ПЗ перевіряло наявність debugger-ів, sandbox-середовищ і віртуальних машин. Також воно намагалося відключити AMSI та ETW, щоб обійти поведінкове виявлення Windows-захисту. Усі викрадені дані відправлялися JSON-запитами на домен recargapopular[.]com.
До моменту блокування репозиторій встиг набрати близько 244 тисяч завантажень та 667 вподобань всього за 18 годин. Дослідники підозрюють, що показники були штучно накручені, аби створити ілюзію популярності та довіри до проєкту.
Під час подальшого аналізу HiddenLayer знайшов ще шість репозиторіїв із подібним Python-завантажувачем:
anthfu/Bonsai-8B-gguf
anthfu/Qwen3.6-35B-A3B-APEX-GGU
anthfu/DeepSeek-V4-Pro
anthfu/Qwopus-GLM-18B-Merged-GGUF
anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
anthfu/supergemma4-26b-uncensored-gguf-v2
Окремо дослідники пов’язали домен api[.]eth-fastscan[.]org з іншою шкідливою активністю. Раніше він використовувався для доставки Windows-файлу o0q2l47f.exe, який взаємодіяв із C2-сервером welovechinatown[.]info. Цю інфраструктуру вже помічали у кампанії з npm-пакетом trevlo, через який розповсюджували ValleyRAT або Winos 4.0.
У Panther раніше пояснювали, що шкідливий npm-пакет запускав обфускований JavaScript-завантажувач, який через Base64-команди PowerShell отримував та запускав другий етап зараження з інфраструктури операторів атаки.
