### Hugging Faceにおけるタイポスクワッティング攻撃 `Open-OSS/privacy-filter`という名前の悪意あるリポジトリは、先月リリースされた**OpenAI**の正規の`openai/privacy-filter`モデルを偽装していました。ユーザーを騙して悪意あるコードをダウンロードさせるために、説明文全体をコピーしていました。**Hugging Face**はその後、偽モデルへのアクセスを無効にしました。 **OpenAI**は、アプリケーションにおけるプライバシーとセキュリティを強化することを目的として、2026年4月にプライバシーフィルターを導入し、非構造化テキスト内の個人識別情報（PII）を検出・編集できるようにしました。 ### 攻撃の技術的詳細 「このリポジトリは、**OpenAI**の正規のプライバシーフィルターリリースをタイポスクワッティングし、モデルカードをほぼそのままコピーして、Windowsマシン上で情報窃取マルウェアを取得・実行する`loader.py`ファイルを配布していました」と、**HiddenLayer** Research Teamは報告しています。 悪意あるプロジェクトは、ユーザーにリポジトリをクローンし、Windowsの場合はバッチスクリプト（`start.bat`）、LinuxまたはmacOSの場合はPythonスクリプト（`loader.py`）を実行して、依存関係を構成し、モデルを開始するように指示しています。 実行されると、Pythonスクリプトは悪意あるコードを開始し、SSL検証を無効にし、**JSON Keeper**でホストされているBase64エンコードされたURLをデコードし、それをコマンドとして**PowerShell**に渡して実行します。**JSON Keeper**を使用することで、攻撃者はリポジトリを変更せずにペイロードを動的に切り替えることができます。 **PowerShell**コマンドは、リモートサーバー（`api.eth-fastscan[.]org`）からバッチスクリプトをダウンロードし、`cmd.exe`を使用してそれを起動します。このバッチスクリプトは、ユーザーアカウント制御（UAC）プロンプトを通じて権限を昇格させ、**Microsoft Defender Antivirus**の除外を設定し、同じドメインから次のステージのバイナリをダウンロードし、バイナリを実行する**PowerShell**スクリプトを実行するためのスケジュールタスクを設定する、セカンドステージダウンローダーとして機能します。 ### 情報窃取マルウェアペイロード スケジュールタスクが実行されると、マルウェアは2秒待ってから自己削除します。最終ステージは、スクリーンショットをキャプチャし、**Discord**、仮想通貨ウォレットおよび拡張機能、システムメタデータ、FileZillaの設定やウォレットシードフレーズなどのファイル、そして**Chromium**および**Gecko**ベースのウェブブラウザからデータを収集するように設計された情報窃取マルウェアです。 「スケジュールタスクを使用しているにもかかわらず、このステージは永続性を確立しません。タスクは再起動前に削除されます。これは、ワンショットのSYSTEMコンテキストランチャーとして使用されています」と、**HiddenLayer**は説明しています。 この窃取マルウェアは、デバッガーやサンドボックスをチェックし、仮想マシンで実行されていないことを確認し、検出を回避するために**Windows Antimalware Scan Interface (AMSI)**と**Event Tracing for Windows (ETW)**を無効にしようとします。窃取されたデータは、`recargapopular[.]com`ドメインにJSON形式で送信されます。  ### 誇張された人気と追加の悪意あるリポジトリ 無効化される前、この悪意あるモデルは**Hugging Face**で#1のトレンド位置に到達し、18時間で約244,000回のダウンロードと667件の「いいね！」を獲得しましたが、これは人為的に水増しされたものと疑われています。 さらなる分析により、同様のPythonローダーを使用して窃取マルウェアを配布する、さらに6つのリポジトリが発見されました。 * `anthfu/Bonsai-8B-gguf` * `anthfu/Qwen3.6-35B-A3B-APEX-GGUF` * `anthfu/DeepSeek-V4-Pro` * `anthfu/Qwopus-GLM-18B-Merged-GGUF` * `anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF` * `anthfu/supergemma4-26b-uncensored-gguf-v2` ### ValleyRATとの関連 **HiddenLayer**はまた、`api[.]eth-fastscan[.]org`ドメインが、`welovechinatown[.]info`にビーコンを送信する別のWindows実行可能ファイル（`o0q2l47f.exe`）をホストしていることを発見しました。このドメインは、以前、悪意あるnpmパッケージ`trevlo`を介して**ValleyRAT**（別名Winos 4.0）を配布するキャンペーンで使用されていました。 `trevlo` Node.jsライブラリは、2026年4月4日に`titaniumg`というユーザーによって公開された後、2,300回以上ダウンロードされました。このパッケージのpostinstallフックは、難読化されたJavaScriptローダーをサイレントに実行し、Base64エンコードされた**PowerShell**コマンドを生成して、攻撃者が制御するインフラストラクチャからセカンドステージの**PowerShell**スクリプトを取得・実行します。これは**Panther**によって報告されています。  そのスクリプトは、隠しウィンドウ実行、ゾーン識別子の削除、プロセス分離を完全に回避する**Winos 4.0**ステージャーバイナリ（`CodeRun102.exe`）をダウンロードして実行します。 この攻撃は、通常、**phishing**メールや検索エンジン最適化（SEO）ポイズニングを介して配布されるモジュラーリモートアクセス型トロイの木馬である**ValleyRAT**にとって、新しい初期アクセスベクトルを表しています。**ValleyRAT**の使用は、中国のハッキンググループ**Silver Fox**に起因するとされています。 「共有インフラストラクチャは、これらのキャンペーンが関連している可能性が高く、オープンソースエコシステムを標的とした、より広範なサプライチェーン運用の一部である可能性を示唆しています」と、**HiddenLayer**は結論付けています。