### Ataque de Typosquatting no Hugging Face O repositório malicioso, nomeado `Open-OSS/privacy-filter`, imitava o modelo legítimo `openai/privacy-filter` da **OpenAI**, lançado no mês passado. Ele copiou toda a descrição para enganar os usuários a baixar o código malicioso. O **Hugging Face** desativou o acesso ao modelo falso desde então. A **OpenAI** introduziu o Privacy Filter em abril de 2026 como um meio de detectar e redigir Informações de Identificação Pessoal (PII) em texto não estruturado, visando aprimorar a privacidade e a segurança em aplicações. ### Detalhes Técnicos do Ataque "O repositório fez typosquatting do lançamento legítimo do Privacy Filter da **OpenAI**, copiou seu model card quase literalmente e enviou um arquivo `loader.py` que busca e executa malware infostealer em máquinas Windows", relatou a Equipe de Pesquisa da **HiddenLayer**. O projeto malicioso instrui os usuários a clonar o repositório e executar um script batch (`start.bat`) para Windows ou um script Python (`loader.py`) para Linux ou macOS para configurar dependências e iniciar o modelo. Uma vez executado, o script Python inicia um código malicioso que desabilita a verificação SSL, decodifica uma URL codificada em Base64 hospedada no **JSON Keeper** e a utiliza para extrair um comando passado para o **PowerShell** para execução. O uso do **JSON Keeper** permite que os atacantes troquem payloads dinamicamente sem alterar o repositório. O comando do **PowerShell** baixa um script batch de um servidor remoto (`api.eth-fastscan[.]org`) e o executa usando `cmd.exe`. Este script batch funciona como um downloader de segundo estágio, elevando privilégios através de um prompt de Controle de Conta de Usuário (UAC), configurando exclusões no **Microsoft Defender Antivirus**, baixando o binário de próximo estágio do mesmo domínio e configurando uma tarefa agendada para executar um script **PowerShell** que executa o binário. ### Payload Ladrão de Informações Assim que a tarefa agendada é executada, o malware espera dois segundos antes de se autoexcluir. O estágio final é um ladrão de informações projetado para capturar screenshots e coletar dados do **Discord**, carteiras e extensões de criptomoedas, metadados do sistema, arquivos como configurações do FileZilla e frases de recuperação de carteira, e navegadores web baseados em **Chromium** e **Gecko**. "Apesar de usar uma tarefa agendada, este estágio não estabelece persistência: a tarefa é destruída antes de qualquer reinicialização. Ele está sendo usado como um lançador de uso único no contexto do SYSTEM", explicou a **HiddenLayer**. O ladrão também verifica debuggers e sandboxes, verifica se não está sendo executado em uma máquina virtual e tenta desabilitar a **Windows Antimalware Scan Interface (AMSI)** e o **Event Tracing for Windows (ETW)** para evadir a detecção. Os dados roubados são exfiltrados em formato JSON para o domínio `recargapopular[.]com`.  ### Popularidade Inflada e Repositórios Maliciosos Adicionais Antes de ser desativado, o modelo malicioso atingiu a posição #1 em tendências no **Hugging Face**, com aproximadamente 244.000 downloads e 667 curtidas em 18 horas, suspeito de ter sido inflado artificialmente. Análises adicionais revelaram mais seis repositórios usando um loader Python semelhante para implantar o ladrão: * `anthfu/Bonsai-8B-gguf` * `anthfu/Qwen3.6-35B-A3B-APEX-GGUF` * `anthfu/DeepSeek-V4-Pro` * `anthfu/Qwopus-GLM-18B-Merged-GGUF` * `anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF` * `anthfu/supergemma4-26b-uncensored-gguf-v2` ### Conexão com ValleyRAT A **HiddenLayer** também descobriu que o domínio `api[.]eth-fastscan[.]org` estava servindo um executável diferente para Windows (`o0q2l47f.exe`) que se comunicava com `welovechinatown[.]info`, um servidor de comando e controle (C2) anteriormente usado em uma campanha envolvendo um pacote npm malicioso chamado `trevlo` para entregar o **ValleyRAT** (também conhecido como Winos 4.0). A biblioteca Node.js `trevlo` foi baixada mais de 2.300 vezes após ser publicada por um usuário chamado `titaniumg` em 4 de abril de 2026. O hook postinstall do pacote executa silenciosamente um loader JavaScript ofuscado que gera um comando **PowerShell** codificado em base64, buscando e executando um script **PowerShell** de segundo estágio de infraestrutura controlada pelo atacante, conforme relatado pela **Panther**.  Esse script baixa e executa um stager binário do **Winos 4.0** (`CodeRun102.exe`) com evasão completa, incluindo execução de janela oculta, remoção do Zone Identifier e desanexamento do processo. Este ataque representa um novo vetor de acesso inicial para o **ValleyRAT**, um trojan de acesso remoto modular tipicamente distribuído via e-mails de phishing e otimização de mecanismos de busca (SEO poisoning). O uso do **ValleyRAT** é atribuído ao grupo de hacking chinês **Silver Fox**. "A infraestrutura compartilhada sugere que essas campanhas estão possivelmente ligadas e provavelmente fazem parte de uma operação mais ampla de cadeia de suprimentos visando ecossistemas de código aberto", concluiu a **HiddenLayer**.