Stealer en Rust distribuido vía repositorio malicioso en Hugging Face

Foto del autor

CyberSecureFox Editorial Team

El repositorio malicioso Open-OSS/privacy-filter en la plataforma Hugging Face, disfrazado como el modelo legítimo OpenAI Privacy Filter, se utilizaba para distribuir un infostealer de información basado en Rust, dirigido a usuarios de Windows. Según el equipo de investigación de HiddenLayer, los atacantes copiaron casi palabra por palabra la descripción del modelo legítimo y emplearon técnicas de typosquatting para engañar a los desarrolladores. El repositorio ya ha sido bloqueado por la plataforma; sin embargo, el incidente afecta a un amplio abanico de usuarios que trabajan con modelos abiertos de machine learning y demuestra la creciente amenaza de ataques a la cadena de suministro en el ecosistema de IA.

Mecanismo de ataque: del clonado a la exfiltración

El modelo legítimo Privacy Filter fue presentada por OpenAI en abril de 2026 como una herramienta para detectar y editar datos personales (PII) en texto no estructurado. Los atacantes aprovecharon su popularidad creando un repositorio duplicado bajo la cuenta Open-OSS.

La cadena de infección comenzaba con la instrucción de clonar el repositorio y ejecutar el script por lotes start.bat (para Windows) o el script de Python loader.py (para Linux/macOS). Según los investigadores, el loader en Python realizaba las siguientes acciones:

  • Deshabilitaba la validación de certificados SSL
  • Decodificaba una URL en formato Base64 alojada en el servicio JSON Keeper
  • Extraía un comando y lo pasaba a PowerShell para su ejecución

El uso de JSON Keeper, un servicio público para almacenar datos JSON, como resolutor intermedio permitía a los atacantes cambiar la carga útil sin modificar el propio repositorio. Esto dificulta considerablemente el análisis estático y el bloqueo.

Entrega multietapa de la carga útil

El comando de PowerShell descargaba un script por lotes desde el servidor remoto api.eth-fastscan[.]org y lo ejecutaba a través de cmd.exe. Este script de segunda fase preparaba el entorno:

  • Solicitaba elevación de privilegios mediante un aviso de UAC
  • Configuraba exclusiones en Microsoft Defender Antivirus
  • Descargaba el binario de la fase siguiente desde el mismo dominio
  • Creaba una tarea programada para lanzar un script de PowerShell que ejecutaba el archivo descargado

Como señalan los investigadores de HiddenLayer, la tarea programada se utilizaba como un mecanismo de ejecución de un solo uso en el contexto de SYSTEM: la tarea se eliminaba antes del reinicio y no proporcionaba persistencia.

Carga útil final: infostealer

El componente final, un infostealer de información, estaba orientado a un amplio espectro de datos:

  • Capturas de pantalla
  • Datos de Discord
  • Billeteras de criptomonedas y extensiones de navegador
  • Metadatos del sistema
  • Configuraciones de FileZilla y frases semilla de billeteras
  • Datos de navegadores basados en los motores Chromium y Gecko

El stealer incorporaba mecanismos de evasión del análisis: detección de depuradores y sandboxes, comprobación de máquinas virtuales, así como intentos de deshabilitar AMSI (Windows Antimalware Scan Interface) y ETW (Event Tracing for Windows). Los datos robados se exfiltraban en formato JSON al dominio recargapopular[.]com.

Alcance de la campaña y repositorios relacionados

Además del repositorio principal, los investigadores de HiddenLayer descubrieron otros seis repositorios en Hugging Face con un loader en Python similar, todos bajo la cuenta anthfu:

  • anthfu/Bonsai-8B-gguf
  • anthfu/Qwen3.6-35B-A3B-APEX-GGUF
  • anthfu/DeepSeek-V4-Pro
  • anthfu/Qwopus-GLM-18B-Merged-GGUF
  • anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
  • anthfu/supergemma4-26b-uncensored-gguf-v2

Los nombres de estos repositorios imitan modelos abiertos populares, lo que apunta a un enfoque sistemático de typosquatting en el ecosistema de Hugging Face.

Posible relación con campañas de ValleyRAT

Los investigadores también observaron que el dominio api.eth-fastscan[.]org se utilizaba para distribuir otro ejecutable — o0q2l47f.exe, — que se conectaba al servidor de mando y control welovechinatown[.]info. Según un estudio de la empresa Panther, este mismo servidor de C2 ya había aparecido anteriormente en una campaña con el paquete malicioso de npm trevlo, que distribuía ValleyRAT (también conocido como Winos 4.0) mediante un dropper de PowerShell de múltiples etapas.

Debe subrayarse que la relación entre la campaña en Hugging Face y la actividad de ValleyRAT se basa en la coincidencia de la infraestructura y constituye una evaluación analítica de los investigadores, no una atribución confirmada. HiddenLayer plantea la hipótesis de que la infraestructura común podría indicar una operación más amplia dirigida a las cadenas de suministro en ecosistemas abiertos.

Evaluación del impacto

Los más expuestos al riesgo son los desarrolladores e investigadores que trabajan con modelos abiertos de machine learning y los descargan desde Hugging Face sin una verificación rigurosa de la fuente. Una posible intrusión puede derivar en la filtración de credenciales, activos en criptomonedas, configuraciones de servidores y datos de navegadores, tanto personales como corporativos.

El incidente pone de manifiesto la vulnerabilidad del modelo de confianza de las plataformas de distribución de modelos de ML: la popularidad de un repositorio (número de descargas y “likes”) puede inflarse artificialmente, creando una falsa impresión de legitimidad.

Recomendaciones

  • Verifique la fuente del modelo: antes de descargar, asegúrese de que el repositorio pertenece a la organización oficial (por ejemplo, openai/privacy-filter) y no a una cuenta con un nombre similar
  • Analice el contenido del repositorio: compruebe si hay archivos sospechosos (loader.py, start.bat) y scripts que descarguen contenido desde servidores externos o que deshabiliten la validación SSL
  • Bloquee los indicadores de compromiso a nivel de infraestructura de red: los dominios api.eth-fastscan[.]org, recargapopular[.]com, welovechinatown[.]info; hash SHA-256: c1b59cc25bdc1fe3f3ce8eda06d002dda7cb02dea8c29877b68d04cd089363c7
  • Supervise los intentos de deshabilitar AMSI y ETW en los endpoints, ya que es un marcador característico de esta cadena de infección
  • Utilice entornos aislados (contenedores, máquinas virtuales) para probar cualquier modelo descargado antes de desplegarlo en la infraestructura de producción
  • Realice un análisis retrospectivo para detectar conexiones a los dominios indicados si en la organización se han descargado modelos desde Hugging Face en las últimas semanas

Las organizaciones que utilicen modelos de Hugging Face deben comprobar de inmediato el historial de descargas en busca de los repositorios maliciosos mencionados y realizar un escaneo de endpoints en busca de los indicadores de compromiso indicados. Implantar una política de verificación obligatoria de la fuente y ejecutar los modelos únicamente en entornos aislados es la medida mínima necesaria para protegerse frente a ataques a la cadena de suministro en el ecosistema de machine learning.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio