Вредоносный репозиторий Open-OSS/privacy-filter на платформе Hugging Face, замаскированный под легитимную модель OpenAI Privacy Filter, использовался для доставки информационного стилера на базе Rust, нацеленного на пользователей Windows. По данным исследовательской команды HiddenLayer, атакующие скопировали описание легитимной модели практически дословно и использовали тайпосквоттинг для обмана разработчиков. Репозиторий уже заблокирован платформой, однако инцидент затрагивает широкий круг пользователей, работающих с открытыми моделями машинного обучения, и демонстрирует растущую угрозу атак на цепочку поставок в экосистеме ИИ.
Механизм атаки: от клонирования до эксфильтрации
Легитимная модель Privacy Filter была представлена OpenAI в апреле 2026 года как инструмент для обнаружения и редактирования персональных данных (PII) в неструктурированном тексте. Злоумышленники воспользовались её популярностью, создав репозиторий-двойник под учётной записью Open-OSS.
Цепочка заражения начиналась с инструкции клонировать репозиторий и запустить пакетный скрипт start.bat (для Windows) или Python-скрипт loader.py (для Linux/macOS). По данным исследователей, Python-загрузчик выполнял следующие действия:
- Отключал проверку SSL-сертификатов
- Декодировал URL в формате Base64, размещённый на сервисе JSON Keeper
- Извлекал команду и передавал её в PowerShell для выполнения
Использование JSON Keeper — публичного сервиса для хранения JSON-данных — в качестве промежуточного резолвера позволяло атакующим менять полезную нагрузку без модификации самого репозитория. Это существенно затрудняет статический анализ и блокировку.
Многоступенчатая доставка полезной нагрузки
Команда PowerShell загружала пакетный скрипт с удалённого сервера api.eth-fastscan[.]org и запускала его через cmd.exe. Этот скрипт второго этапа выполнял подготовку среды:
- Запрашивал повышение привилегий через приглашение UAC
- Настраивал исключения в Microsoft Defender Antivirus
- Загружал бинарный файл следующего этапа с того же домена
- Создавал запланированную задачу для запуска PowerShell-скрипта, исполняющего загруженный файл
Как отмечают исследователи HiddenLayer, запланированная задача использовалась как одноразовый механизм запуска в контексте SYSTEM — задача уничтожалась до перезагрузки и не обеспечивала персистентность.
Финальная полезная нагрузка: инфостилер
Итоговый компонент — информационный стилер — был нацелен на широкий спектр данных:
- Снимки экрана
- Данные Discord
- Криптовалютные кошельки и расширения браузеров
- Метаданные системы
- Конфигурации FileZilla и сид-фразы кошельков
- Данные браузеров на движках Chromium и Gecko
Стилер включал механизмы обхода анализа: обнаружение отладчиков и песочниц, проверку на виртуальную машину, а также попытки отключить AMSI (Windows Antimalware Scan Interface) и ETW (Event Tracing for Windows). Похищенные данные эксфильтрировались в формате JSON на домен recargapopular[.]com.
Масштаб кампании и связанные репозитории
Помимо основного репозитория, исследователи HiddenLayer обнаружили шесть дополнительных репозиториев на Hugging Face с аналогичным Python-загрузчиком, все под учётной записью anthfu:
- anthfu/Bonsai-8B-gguf
- anthfu/Qwen3.6-35B-A3B-APEX-GGUF
- anthfu/DeepSeek-V4-Pro
- anthfu/Qwopus-GLM-18B-Merged-GGUF
- anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
- anthfu/supergemma4-26b-uncensored-gguf-v2
Названия этих репозиториев имитируют популярные открытые модели, что указывает на систематический подход к тайпосквоттингу в экосистеме Hugging Face.
Возможная связь с кампаниями ValleyRAT
Исследователи также зафиксировали, что домен api.eth-fastscan[.]org использовался для раздачи другого исполняемого файла — o0q2l47f.exe, — который обращался к серверу управления welovechinatown[.]info. По данным исследования компании Panther, этот же C2-сервер ранее фигурировал в кампании с вредоносным npm-пакетом trevlo, который доставлял ValleyRAT (также известный как Winos 4.0) через многоступенчатый PowerShell-дроппер.
Следует подчеркнуть, что связь между кампанией на Hugging Face и активностью ValleyRAT основана на совпадении инфраструктуры и является аналитической оценкой исследователей, а не подтверждённой атрибуцией. HiddenLayer предполагает, что общая инфраструктура может указывать на более широкую операцию, нацеленную на цепочки поставок в открытых экосистемах.
Оценка воздействия
Наибольшему риску подвержены разработчики и исследователи, работающие с открытыми моделями машинного обучения и загружающие их с Hugging Face без тщательной верификации источника. Компрометация может привести к утечке учётных данных, криптовалютных активов, конфигураций серверов и данных браузеров — как личных, так и корпоративных.
Инцидент демонстрирует уязвимость модели доверия платформ для распространения ML-моделей: популярность репозитория (количество загрузок и лайков) может быть искусственно завышена, создавая ложное впечатление легитимности.
Рекомендации
- Верифицируйте источник модели: перед загрузкой убедитесь, что репозиторий принадлежит официальной организации (например, openai/privacy-filter), а не учётной записи с похожим названием
- Анализируйте содержимое репозитория: проверяйте наличие подозрительных файлов (loader.py, start.bat) и скриптов, выполняющих загрузку с внешних серверов или отключающих проверку SSL
- Блокируйте индикаторы компрометации на уровне сетевой инфраструктуры: домены api.eth-fastscan[.]org, recargapopular[.]com, welovechinatown[.]info; хеш SHA-256:
c1b59cc25bdc1fe3f3ce8eda06d002dda7cb02dea8c29877b68d04cd089363c7 - Мониторьте попытки отключения AMSI и ETW на конечных точках — это характерный маркер данной цепочки заражения
- Используйте изолированные среды (контейнеры, виртуальные машины) для тестирования любых загруженных моделей перед развёртыванием в рабочей инфраструктуре
- Проведите ретроспективный анализ на предмет обращений к указанным доменам, если в организации загружались модели с Hugging Face в последние недели
Организациям, использующим модели с Hugging Face, следует немедленно проверить историю загрузок на наличие перечисленных вредоносных репозиториев и провести сканирование конечных точек на указанные индикаторы компрометации. Внедрение политики обязательной верификации источника и запуска моделей только в изолированных средах — минимально необходимая мера для защиты от атак на цепочку поставок в экосистеме машинного обучения.
