Repositório Falso da OpenAI no Hugging Face Chega ao Topo e Contém Stealer
Pesquisadores da HiddenLayer descobriram um repositório malicioso no Hugging Face que se passava por um projeto legítimo da OpenAI, mas na verdade distribuía um infostealer para Windows. O repositório falso foi baixado cerca de 244.000 vezes antes de ser removido, demonstrando a eficácia de táticas de engenharia social e a necessidade de vigilância constante.
MundiX News·14 de maio de 2026·2 min de leitura·👁 3 views
Pesquisadores da HiddenLayer identificaram um repositório malicioso na plataforma Hugging Face, denominado Open-OSS/privacy-filter, que se disfarçava de projeto legítimo da OpenAI, o OpenAI Privacy Filter. O repositório fraudulento, que chegou ao topo das tendências da plataforma, distribuía um infostealer projetado para sistemas Windows. Antes de ser removido, o repositório foi baixado aproximadamente 244.000 vezes, evidenciando a eficácia de táticas de engenharia social e a importância da vigilância constante.
De acordo com os pesquisadores, o projeto malicioso era convincente, pois os atacantes replicaram quase completamente a descrição do Privacy Filter original. No entanto, o repositório continha um arquivo loader.py que, externamente, se assemelhava a código relacionado à inteligência artificial. Este script, no entanto, desabilitava a verificação SSL, decodificava uma string base64 contendo o endereço de um recurso externo e carregava um payload JSON com um comando PowerShell. Esse comando era executado em uma janela oculta e baixava um arquivo batch start.bat. O script então elevava os privilégios, adicionava o malware às exclusões do Microsoft Defender e carregava o payload final, chamado sefirah, um infostealer escrito em Rust.
O malware coletava dados de navegadores Chromium e Gecko, incluindo cookies, senhas salvas, chaves de criptografia e tokens de sessão. O stealer também visava tokens do Discord, carteiras de criptomoedas, configurações SSH, FTP e VPN, arquivos do FileZilla, seed phrases e outros segredos locais. Além disso, o malware fazia capturas de tela de todos os monitores conectados e coletava informações do sistema. Todos os dados roubados eram então arquivados e enviados para o servidor de comando e controle recargapopular[.]com. A HiddenLayer observou que o malware possuía um conjunto sofisticado de funções anti-análise, verificando a presença de máquinas virtuais, sandboxes, depuradores e ferramentas de pesquisa para evitar a detecção. A análise da infraestrutura dos atacantes também revelou conexões com outros repositórios maliciosos com o mesmo carregador e uma campanha maliciosa npm anterior que distribuía o malware WinOS 4.0. Usuários que baixaram arquivos do repositório falso são aconselhados a reinstalar completamente o sistema operacional, alterar todas as credenciais e seed phrases, criar novas carteiras de criptomoedas e encerrar todas as sessões ativas nos navegadores.
Pesquisadores da HiddenLayer identificaram um repositório malicioso na plataforma Hugging Face, denominado Open-OSS/privacy-filter, que se disfarçava de projeto legítimo da OpenAI, o OpenAI Privacy Filter. O repositório fraudulento, que chegou ao topo das tendências da plataforma, distribuía um infostealer projetado para sistemas Windows. Antes de ser removido, o repositório foi baixado aproximadamente 244.000 vezes, evidenciando a eficácia de táticas de engenharia social e a importância da vigilância constante.
De acordo com os pesquisadores, o projeto malicioso era convincente, pois os atacantes replicaram quase completamente a descrição do Privacy Filter original. No entanto, o repositório continha um arquivo loader.py que, externamente, se assemelhava a código relacionado à inteligência artificial. Este script, no entanto, desabilitava a verificação SSL, decodificava uma string base64 contendo o endereço de um recurso externo e carregava um payload JSON com um comando PowerShell. Esse comando era executado em uma janela oculta e baixava um arquivo batch start.bat. O script então elevava os privilégios, adicionava o malware às exclusões do Microsoft Defender e carregava o payload final, chamado sefirah, um infostealer escrito em Rust.
O malware coletava dados de navegadores Chromium e Gecko, incluindo cookies, senhas salvas, chaves de criptografia e tokens de sessão. O stealer também visava tokens do Discord, carteiras de criptomoedas, configurações SSH, FTP e VPN, arquivos do FileZilla, seed phrases e outros segredos locais. Além disso, o malware fazia capturas de tela de todos os monitores conectados e coletava informações do sistema. Todos os dados roubados eram então arquivados e enviados para o servidor de comando e controle recargapopular[.]com. A HiddenLayer observou que o malware possuía um conjunto sofisticado de funções anti-análise, verificando a presença de máquinas virtuais, sandboxes, depuradores e ferramentas de pesquisa para evitar a detecção. A análise da infraestrutura dos atacantes também revelou conexões com outros repositórios maliciosos com o mesmo carregador e uma campanha maliciosa npm anterior que distribuía o malware WinOS 4.0. Usuários que baixaram arquivos do repositório falso são aconselhados a reinstalar completamente o sistema operacional, alterar todas as credenciais e seed phrases, criar novas carteiras de criptomoedas e encerrar todas as sessões ativas nos navegadores.
