Шкідливий репозиторій Open-OSS/privacy-filter на платформі Hugging Face, замаскований під легітимну модель OpenAI Privacy Filter, використовувався для доставки інформаційного стилера на базі Rust, націленого на користувачів Windows. За даними дослідницької команди HiddenLayer, зловмисники майже дослівно скопіювали опис легітимної моделі й застосували тайпосквотинг для обману розробників. Репозиторій уже заблокований платформою, однак інцидент зачіпає широкий спектр користувачів, які працюють із відкритими моделями машинного навчання, і демонструє зростаючу загрозу атак на ланцюг постачання в екосистемі ШІ.
Механізм атаки: від клонування до ексфільтрації
Легітимна модель Privacy Filter була представлена OpenAI у квітні 2026 року як інструмент для виявлення та редагування персональних даних (PII) у неструктурованому тексті. Зловмисники скористалися її популярністю, створивши репозиторій-двійник під обліковим записом Open-OSS.
Ланцюг зараження починався з інструкції клонувати репозиторій і запустити пакетний скрипт start.bat (для Windows) або Python-скрипт loader.py (для Linux/macOS). За даними дослідників, Python-завантажувач виконував такі дії:
- Вимикав перевірку SSL-сертифікатів
- Декодував URL у форматі Base64, розміщений на сервісі JSON Keeper
- Вилучав команду й передавав її в PowerShell для виконання
Використання JSON Keeper — публічного сервісу для зберігання JSON-даних — як проміжного резолвера дозволяло зловмисникам змінювати шкідливе навантаження без модифікації самого репозиторію. Це суттєво ускладнює статичний аналіз і блокування.
Багатоступенева доставка шкідливого навантаження
Команда PowerShell завантажувала пакетний скрипт із віддаленого сервера api.eth-fastscan[.]org і запускала його через cmd.exe. Цей скрипт другого етапу виконував підготовку середовища:
- Запитував підвищення привілеїв через запит UAC
- Налаштовував винятки в Microsoft Defender Antivirus
- Завантажував бінарний файл наступного етапу з того ж домену
- Створював заплановане завдання для запуску PowerShell-скрипта, який виконував завантажений файл
Як зазначають дослідники HiddenLayer, заплановане завдання використовувалося як одноразовий механізм запуску в контексті SYSTEM — завдання видалялось до перезавантаження й не забезпечувало персистентність.
Фінальне шкідливе навантаження: інфостілер
Кінцевий компонент — інформаційний стилер — був націлений на широкий спектр даних:
- Знімки екрана
- Дані Discord
- Криптовалютні гаманці та розширення браузерів
- Метадані системи
- Конфігурації FileZilla та seed-фрази гаманців
- Дані браузерів на рушіях Chromium і Gecko
Стилер включав механізми обходу аналізу: виявлення налагоджувачів і пісочниць, перевірку на віртуальну машину, а також спроби вимкнути AMSI (Windows Antimalware Scan Interface) та ETW (Event Tracing for Windows). Викрадені дані ексфільтровувалися у форматі JSON на домен recargapopular[.]com.
Масштаб кампанії та пов’язані репозиторії
Окрім основного репозиторію, дослідники HiddenLayer виявили шість додаткових репозиторіїв на Hugging Face з аналогічним Python-завантажувачем, усі під обліковим записом anthfu:
- anthfu/Bonsai-8B-gguf
- anthfu/Qwen3.6-35B-A3B-APEX-GGUF
- anthfu/DeepSeek-V4-Pro
- anthfu/Qwopus-GLM-18B-Merged-GGUF
- anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
- anthfu/supergemma4-26b-uncensored-gguf-v2
Назви цих репозиторіїв імітують популярні відкриті моделі, що вказує на систематичний підхід до тайпосквотингу в екосистемі Hugging Face.
Можливий зв’язок із кампаніями ValleyRAT
Дослідники також зафіксували, що домен api.eth-fastscan[.]org використовувався для розповсюдження іншого виконуваного файла — o0q2l47f.exe, — який звертався до сервера керування welovechinatown[.]info. За даними дослідження компанії Panther, цей самий C2-сервер раніше фігурував у кампанії зі шкідливим npm-пакетом trevlo, який доставляв ValleyRAT (також відомий як Winos 4.0) через багатоступеневий PowerShell-дропер.
Слід наголосити, що зв’язок між кампанією на Hugging Face та активністю ValleyRAT ґрунтується на збігу інфраструктури й є аналітичною оцінкою дослідників, а не підтвердженою атрибуцією. HiddenLayer припускає, що спільна інфраструктура може вказувати на ширшу операцію, націлену на ланцюги постачання у відкритих екосистемах.
Оцінка впливу
Найбільшому ризику піддаються розробники та дослідники, які працюють із відкритими моделями машинного навчання та завантажують їх із Hugging Face без ретельної верифікації джерела. Компрометація може призвести до витоку облікових даних, криптовалютних активів, конфігурацій серверів і даних браузерів — як особистих, так і корпоративних.
Інцидент демонструє вразливість моделі довіри до платформ для поширення ML-моделей: популярність репозиторію (кількість завантажень і вподобань) може бути штучно завищена, створюючи хибне враження легітимності.
Рекомендації
- Верифікуйте джерело моделі: перед завантаженням переконайтеся, що репозиторій належить офіційній організації (наприклад, openai/privacy-filter), а не обліковому запису зі схожою назвою
- Аналізуйте вміст репозиторію: перевіряйте наявність підозрілих файлів (loader.py, start.bat) і скриптів, що виконують завантаження з зовнішніх серверів або вимикають перевірку SSL
- Блокуйте індикатори компрометації на рівні мережевої інфраструктури: домени api.eth-fastscan[.]org, recargapopular[.]com, welovechinatown[.]info; хеш SHA-256:
c1b59cc25bdc1fe3f3ce8eda06d002dda7cb02dea8c29877b68d04cd089363c7 - Відстежуйте спроби вимкнення AMSI та ETW на кінцевих точках — це характерний маркер цього ланцюга зараження
- Використовуйте ізольовані середовища (контейнери, віртуальні машини) для тестування будь-яких завантажених моделей перед розгортанням у робочій інфраструктурі
- Проведіть ретроспективний аналіз на предмет звернень до зазначених доменів, якщо в організації останніми тижнями завантажувалися моделі з Hugging Face
Організаціям, що використовують моделі з Hugging Face, слід негайно перевірити історію завантажень на наявність перелічених шкідливих репозиторіїв і провести сканування кінцевих точок на вказані індикатори компрометації. Запровадження політики обов’язкової верифікації джерела та запуску моделей лише в ізольованих середовищах — мінімально необхідний захід для захисту від атак на ланцюг постачання в екосистемі машинного навчання.
