### Attaque par Typosquatting sur Hugging Face Le dépôt malveillant, nommé `Open-OSS/privacy-filter`, usurpait l'identité du modèle légitime `openai/privacy-filter` d'**OpenAI**, publié le mois dernier. Il a copié l'intégralité de la description pour tromper les utilisateurs et les inciter à télécharger le code malveillant. **Hugging Face** a depuis désactivé l'accès au faux modèle. **OpenAI** a introduit le Filtre de Confidentialité en avril 2026 comme moyen de détecter et de masquer les informations personnellement identifiables (PII) dans le texte non structuré, dans le but d'améliorer la confidentialité et la sécurité dans les applications. ### Détails Techniques de l'Attaque « Le dépôt avait fait du typosquatting sur la version légitime du Filtre de Confidentialité d'**OpenAI**, copié sa carte de modèle presque mot pour mot, et expédié un fichier `loader.py` qui récupère et exécute un voleur d'informations sur les machines Windows », a rapporté l'équipe de recherche de **HiddenLayer**. Le projet malveillant demande aux utilisateurs de cloner le dépôt et d'exécuter soit un script batch (`start.bat`) pour Windows, soit un script Python (`loader.py`) pour Linux ou macOS afin de configurer les dépendances et d'initialiser le modèle. Une fois exécuté, le script Python initie un code malveillant qui désactive la vérification SSL, décode une URL encodée en Base64 hébergée sur **JSON Keeper**, et l'utilise pour extraire une commande passée à **PowerShell** pour exécution. L'utilisation de **JSON Keeper** permet aux attaquants de changer dynamiquement les payloads sans modifier le dépôt. La commande **PowerShell** télécharge un script batch depuis un serveur distant (`api.eth-fastscan[.]org`) et le lance en utilisant `cmd.exe`. Ce script batch fonctionne comme un téléchargeur de second niveau, élève les privilèges via une invite de contrôle de compte d'utilisateur (UAC), configure les exclusions de **Microsoft Defender Antivirus**, télécharge le binaire de niveau suivant depuis le même domaine, et configure une tâche planifiée pour exécuter un script **PowerShell** qui exécute le binaire. ### Payload Voleur d'Informations Une fois la tâche planifiée exécutée, le malware attend deux secondes avant de s'auto-supprimer. La dernière étape est un voleur d'informations conçu pour capturer des captures d'écran et collecter des données depuis **Discord**, les portefeuilles et extensions de cryptomonnaies, les métadonnées système, des fichiers comme les configurations FileZilla et les phrases de récupération de portefeuille, ainsi que les navigateurs web basés sur **Chromium** et **Gecko**. « Malgré l'utilisation d'une tâche planifiée, cette étape n'établit aucune persistance : la tâche est détruite avant tout redémarrage. Elle est utilisée comme un lanceur unique en contexte SYSTEM », a expliqué **HiddenLayer**. Le voleur vérifie également la présence de débogueurs et de sandboxes, s'assure qu'il ne s'exécute pas dans une machine virtuelle, et tente de désactiver l'**Interface d'Analyse Antimalware de Windows (AMSI)** et le **Traçage d'Événements pour Windows (ETW)** pour échapper à la détection. Les données volées sont exfiltrées au format JSON vers le domaine `recargapopular[.]com`.  ### Popularité Gonflée et Dépôts Malveillants Supplémentaires Avant d'être désactivé, le modèle malveillant avait atteint la première position des tendances sur **Hugging Face**, avec environ 244 000 téléchargements et 667 likes en 18 heures, suspectés d'être artificiellement gonflés. Une analyse plus approfondie a révélé six autres dépôts utilisant un chargeur Python similaire pour déployer le voleur : * `anthfu/Bonsai-8B-gguf` * `anthfu/Qwen3.6-35B-A3B-APEX-GGUF` * `anthfu/DeepSeek-V4-Pro` * `anthfu/Qwopus-GLM-18B-Merged-GGUF` * `anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF` * `anthfu/supergemma4-26b-uncensored-gguf-v2` ### Connexion à ValleyRAT **HiddenLayer** a également découvert que le domaine `api[.]eth-fastscan[.]org` servait un exécutable Windows différent (`o0q2l47f.exe`) qui beaconnait vers `welovechinatown[.]info`, un serveur de commande et de contrôle (C2) précédemment utilisé dans une campagne impliquant un package npm malveillant nommé `trevlo` pour livrer **ValleyRAT** (alias Winos 4.0). La bibliothèque Node.js `trevlo` a été téléchargée plus de 2 300 fois après avoir été publiée par un utilisateur nommé `titaniumg` le 4 avril 2026. Le hook postinstall du package exécute silencieusement un chargeur JavaScript obfusqué qui lance une commande **PowerShell** encodée en base64, récupérant et exécutant un script **PowerShell** de second niveau depuis une infrastructure contrôlée par l'attaquant, comme l'a rapporté **Panther**.  Ce script télécharge et exécute un binaire de mise en scène **Winos 4.0** (`CodeRun102.exe`) avec une évasion complète, incluant l'exécution de fenêtre cachée, la suppression de l'identifiant de zone, et le détachement du processus. Cette attaque représente un nouveau vecteur d'accès initial pour **ValleyRAT**, un cheval de Troie d'accès à distance modulaire généralement distribué via des e-mails de phishing et le référencement (SEO) empoisonné. L'utilisation de **ValleyRAT** est attribuée au groupe de piratage chinois **Silver Fox**. « L'infrastructure partagée suggère que ces campagnes sont potentiellement liées et font probablement partie d'une opération plus large de chaîne d'approvisionnement ciblant les écosystèmes open-source », a conclu **HiddenLayer**.