### Typosquatting-Angriff auf Hugging Face Das bösartige Repository mit dem Namen `Open-OSS/privacy-filter` gab sich als das legitime `openai/privacy-filter`-Modell von **OpenAI** aus, das im letzten Monat veröffentlicht wurde. Es kopierte die gesamte Beschreibung, um Benutzer zum Download des bösartigen Codes zu verleiten. **Hugging Face** hat inzwischen den Zugriff auf das gefälschte Modell deaktiviert. **OpenAI** führte den Privacy Filter im April 2026 ein, um persönlich identifizierbare Informationen (PII) in unstrukturiertem Text zu erkennen und zu schwärzen, mit dem Ziel, die Privatsphäre und Sicherheit in Anwendungen zu verbessern. ### Technische Details des Angriffs "Das Repository hatte **OpenAI**s legitime Privacy Filter-Veröffentlichung typosquatting-mäßig nachgeahmt, seine Modellkarte fast wortwörtlich kopiert und eine `loader.py`-Datei ausgeliefert, die Infostealer-Malware auf Windows-Rechnern abruft und ausführt", berichtete das **HiddenLayer** Research Team. Das bösartige Projekt weist Benutzer an, das Repository zu klonen und entweder ein Batch-Skript (`start.bat`) für Windows oder ein Python-Skript (`loader.py`) für Linux oder macOS auszuführen, um Abhängigkeiten zu konfigurieren und das Modell zu starten. Nach der Ausführung initiiert das Python-Skript bösartigen Code, der die SSL-Überprüfung deaktiviert, eine auf **JSON Keeper** gehostete Base64-kodierte URL dekodiert und diese verwendet, um einen Befehl zu extrahieren, der an **PowerShell** zur Ausführung übergeben wird. Die Verwendung von **JSON Keeper** ermöglicht es Angreifern, Payloads dynamisch zu wechseln, ohne das Repository zu ändern. Der **PowerShell**-Befehl lädt ein Batch-Skript von einem Remote-Server (`api.eth-fastscan[.]org`) herunter und startet es mit `cmd.exe`. Dieses Batch-Skript fungiert als Downloader der zweiten Stufe, eskaliert Berechtigungen über eine Benutzerkontensteuerung (UAC)-Abfrage, konfiguriert Ausschlüsse für **Microsoft Defender Antivirus**, lädt die Binärdatei der nächsten Stufe von derselben Domäne herunter und richtet eine geplante Aufgabe ein, um ein **PowerShell**-Skript auszuführen, das die Binärdatei ausführt. ### Informationsdieb-Payload Sobald die geplante Aufgabe ausgeführt wird, wartet die Malware zwei Sekunden, bevor sie sich selbst löscht. Die letzte Stufe ist ein Informationsdieb, der darauf ausgelegt ist, Screenshots zu machen und Daten von **Discord**, Kryptowährungs-Wallets und -Erweiterungen, Systemmetadaten, Dateien wie FileZilla-Konfigurationen und Wallet-Seed-Phrasen sowie Webbrowsern, die auf **Chromium** und **Gecko** basieren, zu stehlen. "Trotz der Verwendung einer geplanten Aufgabe etabliert diese Stufe keine Persistenz: Die Aufgabe wird zerstört, bevor ein Neustart erfolgt. Sie wird als One-Shot SYSTEM-Kontext-Launcher verwendet", erklärte **HiddenLayer**. Der Dieb prüft auch auf Debugger und Sandboxes, verifiziert, dass er nicht in einer virtuellen Maschine läuft, und versucht, die **Windows Antimalware Scan Interface (AMSI)** und **Event Tracing for Windows (ETW)** zu deaktivieren, um der Erkennung zu entgehen. Die gestohlenen Daten werden im JSON-Format an die Domäne `recargapopular[.]com` exfiltriert.  ### Aufgeblasene Popularität und zusätzliche bösartige Repositories Bevor es deaktiviert wurde, erreichte das bösartige Modell die #1 Trending-Position auf **Hugging Face**, mit ungefähr 244.000 Downloads und 667 Likes innerhalb von 18 Stunden, was vermutlich künstlich aufgebläht war. Weitere Analysen ergaben sechs weitere Repositories, die einen ähnlichen Python-Loader verwendeten, um den Dieb bereitzustellen: * `anthfu/Bonsai-8B-gguf` * `anthfu/Qwen3.6-35B-A3B-APEX-GGUF` * `anthfu/DeepSeek-V4-Pro` * `anthfu/Qwopus-GLM-18B-Merged-GGUF` * `anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF` * `anthfu/supergemma4-26b-uncensored-gguf-v2` ### Verbindung zu ValleyRAT **HiddenLayer** fand auch die Domäne `api[.]eth-fastscan[.]org`, die eine andere Windows-Executable (`o0q2l47f.exe`) bereitstellte, die zu `welovechinatown[.]info` beaconte, einem Command-and-Control (C2)-Server, der zuvor in einer Kampagne mit einem bösartigen npm-Paket namens `trevlo` verwendet wurde, um **ValleyRAT** (auch bekannt als Winos 4.0) zu liefern. Die Node.js-Bibliothek `trevlo` wurde nach der Veröffentlichung durch einen Benutzer namens `titaniumg` am 4. April 2026 über 2.300 Mal heruntergeladen. Der Postinstall-Hook des Pakets führte laut **Panther** stillschweigend einen obfuskierten JavaScript-Loader aus, der einen Base64-kodierten **PowerShell**-Befehl erzeugte, der ein **PowerShell**-Skript der zweiten Stufe von Angreifer-kontrollierter Infrastruktur abrief und ausführte.  Dieses Skript lädt und führt eine **Winos 4.0** Stager-Binärdatei (`CodeRun102.exe`) mit vollständiger Umgehung aus, komplett mit versteckter Fensterausführung, Entfernung von Zone Identifiern und Prozessablösung. Dieser Angriff stellt einen neuen initialen Zugangsvektor für **ValleyRAT** dar, einen modularen Remote-Access-Trojaner, der typischerweise über Phishing-E-Mails und Suchmaschinenoptimierungs-Vergiftung (SEO) verbreitet wird. Die Verwendung von **ValleyRAT** wird der chinesischen Hacking-Gruppe **Silver Fox** zugeschrieben. "Die gemeinsame Infrastruktur deutet darauf hin, dass diese Kampagnen möglicherweise miteinander verbunden sind und wahrscheinlich Teil einer breiteren Lieferkettenoperation sind, die auf Open-Source-Ökosysteme abzielt", schloss **HiddenLayer**.