### Ataque de Typosquatting en Hugging Face El repositorio malicioso, llamado `Open-OSS/privacy-filter`, suplantó al modelo legítimo `openai/privacy-filter` de **OpenAI**, lanzado el mes pasado. Copió la descripción completa para engañar a los usuarios y que descargaran el código malicioso. **Hugging Face** ha deshabilitado desde entonces el acceso al modelo falso. **OpenAI** introdujo Privacy Filter en abril de 2026 como un medio para detectar y redactar Información de Identificación Personal (PII) en texto no estructurado, con el objetivo de mejorar la privacidad y la seguridad en las aplicaciones. ### Detalles Técnicos del Ataque "El repositorio había realizado typosquatting del lanzamiento legítimo del Filtro de Privacidad de **OpenAI**, copiado su tarjeta de modelo casi textualmente, y enviado un archivo `loader.py` que obtiene y ejecuta malware ladrón de información en máquinas Windows", informó el Equipo de Investigación de **HiddenLayer**. El proyecto malicioso instruye a los usuarios a clonar el repositorio y ejecutar un script por lotes (`start.bat`) para Windows o un script de Python (`loader.py`) para Linux o macOS para configurar las dependencias e iniciar el modelo. Una vez ejecutado, el script de Python inicia código malicioso que deshabilita la verificación SSL, decodifica una URL codificada en Base64 alojada en **JSON Keeper**, y la utiliza para extraer un comando pasado a **PowerShell** para su ejecución. El uso de **JSON Keeper** permite a los atacantes cambiar dinámicamente los payloads sin alterar el repositorio. El comando de **PowerShell** descarga un script por lotes de un servidor remoto (`api.eth-fastscan[.]org`) y lo lanza usando `cmd.exe`. Este script por lotes funciona como un descargador de segunda etapa, elevando privilegios a través de una solicitud de Control de Cuentas de Usuario (UAC), configurando exclusiones en **Microsoft Defender Antivirus**, descargando el binario de la siguiente etapa del mismo dominio, y configurando una tarea programada para ejecutar un script de **PowerShell** que ejecuta el binario. ### Payload Ladrón de Información Una vez que se ejecuta la tarea programada, el malware espera dos segundos antes de eliminarse a sí mismo. La etapa final es un ladrón de información diseñado para capturar capturas de pantalla y sustraer datos de **Discord**, billeteras y extensiones de criptomonedas, metadatos del sistema, archivos como configuraciones de FileZilla y frases semilla de billeteras, y navegadores web basados en **Chromium** y **Gecko**. "A pesar de usar una tarea programada, esta etapa no establece persistencia: la tarea se destruye antes de cualquier reinicio. Se está utilizando como un lanzador de un solo uso en contexto de SYSTEM", explicó **HiddenLayer**. El ladrón también verifica la presencia de depuradores y sandboxes, verifica que no se esté ejecutando en una máquina virtual, e intenta deshabilitar la **Interfaz de Escaneo Antimalware de Windows (AMSI)** y **Event Tracing for Windows (ETW)** para evadir la detección. Los datos robados se exfiltran en formato JSON al dominio `recargapopular[.]com`.  ### Popularidad Inflada y Repositorios Maliciosos Adicionales Antes de ser deshabilitado, el modelo malicioso alcanzó la posición #1 de tendencias en **Hugging Face**, con aproximadamente 244,000 descargas y 667 "me gusta" en 18 horas, lo que se sospecha que fue inflado artificialmente. Un análisis adicional reveló seis repositorios más que utilizaban un cargador de Python similar para desplegar el ladrón: * `anthfu/Bonsai-8B-gguf` * `anthfu/Qwen3.6-35B-A3B-APEX-GGUF` * `anthfu/DeepSeek-V4-Pro` * `anthfu/Qwopus-GLM-18B-Merged-GGUF` * `anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF` * `anthfu/supergemma4-26b-uncensored-gguf-v2` ### Conexión con ValleyRAT **HiddenLayer** también encontró que el dominio `api[.]eth-fastscan[.]org` servía un ejecutable diferente para Windows (`o0q2l47f.exe`) que hacía beacon a `welovechinatown[.]info`, un servidor de comando y control (C2) utilizado previamente en una campaña que involucraba un paquete npm malicioso llamado `trevlo` para distribuir **ValleyRAT** (también conocido como Winos 4.0). La biblioteca Node.js `trevlo` fue descargada más de 2,300 veces después de ser publicada por un usuario llamado `titaniumg` el 4 de abril de 2026. El hook postinstall del paquete ejecuta silenciosamente un cargador de JavaScript ofuscado que genera un comando **PowerShell** codificado en base64, obteniendo y ejecutando un script de **PowerShell** de segunda etapa desde infraestructura controlada por el atacante, según informó **Panther**.  Ese script descarga y ejecuta un stager binario de **Winos 4.0** (`CodeRun102.exe`) con evasión completa, incluyendo ejecución de ventana oculta, eliminación del Identificador de Zona y desvinculación del proceso. Este ataque representa un nuevo vector de acceso inicial para **ValleyRAT**, un troyano de acceso remoto modular típicamente distribuido a través de correos electrónicos de phishing y envenenamiento de motores de búsqueda (SEO). El uso de **ValleyRAT** se atribuye al grupo de hackers chino **Silver Fox**. "La infraestructura compartida sugiere que estas campañas están posiblemente vinculadas y probablemente forman parte de una operación más amplia de cadena de suministro dirigida a ecosistemas de código abierto", concluyó **HiddenLayer**.