На Hugging Face обнаружили поддельный репозиторий OpenAI Privacy Filter, который выдавал себя за модель OpenAI и загружал на Windows инфостилер (от англ. information stealer — вредоносная программа для кражи данных). До отключения проект набрал около 244 тыс. скачиваний и вышел в тренды платформы, что могло подтолкнуть разработчиков и энтузиастов ИИ к установке заражённого кода.
Как подделка попала в тренды Hugging Face
Вредоносный проект назывался Open-OSS/privacy-filter и копировал легитимный репозиторий openai/privacy-filter. По данным HiddenLayer, авторы подделки почти дословно перенесли описание настоящей модели, чтобы пользователь не заметил разницы.
OpenAI представила Privacy Filter в апреле 2026 года как модель с открытыми весами для поиска и удаления персональных данных в неструктурированном тексте. На этом доверии и сыграли злоумышленники: они использовали тайпсквоттинг (от англ. typosquatting — регистрация похожего имени с ошибкой или подменой), похожее оформление и быстро накрученную популярность.
До блокировки репозиторий поднялся на первое место в трендах Hugging Face, собрал около 244 тыс. скачиваний и 667 лайков менее чем за 18 часов. Исследователи считают, что эти показатели могли искусственно разогнать, чтобы создать видимость надёжного проекта.
Что запускал заражённый репозиторий
Пользователям предлагали клонировать репозиторий и запустить файл «start.bat» на Windows либо «loader.py» на Linux и macOS. На деле Python-сценарий запускал вредоносную цепочку: отключал проверку SSL, расшифровывал адрес, спрятанный через Base64, и получал команду для PowerShell.
Для смены вредоносной нагрузки атакующие использовали JSON Keeper — публичный сервис для публикации JSON-фрагментов. Такой приём удобен преступникам: им не нужно менять сам репозиторий, достаточно обновить содержимое удалённого JSON.
Дальше PowerShell загружал второй сценарий с удалённого сервера. Тот запрашивал повышение прав через контроль учётных записей Windows, добавлял исключения в Microsoft Defender, скачивал исполняемый файл и создавал задачу в планировщике. HiddenLayer подчёркивает: это не закрепление в системе на долгий срок, а разовый запуск с правами SYSTEM.
Какие данные крал инфостилер
Финальная вредоносная программа снимала скриншоты и собирала системные сведения, файлы конфигурации FileZilla, seed-фразы криптокошельков, данные расширений и браузеров на движках Chromium и Gecko. В зоне риска также оказались токены (цифровые ключи сессии), cookies (файлы с данными сайта) и локальные данные Discord.
Отдельная проблема — сохранённые сессии в браузере. Если пользователь открывал discord web на заражённом компьютере, инфостилер мог искать связанные данные вместе с информацией из локального клиента Discord и других приложений.
Для тех, кто часто ищет «discord web вход» через поисковик, риск шире одной атаки: злоумышленники любят поднимать поддельные страницы и репозитории за счёт похожих названий, лайков и скачиваний. Безопаснее набирать адреса вручную и не запускать файлы из проектов, которые обещают быстрый старт без проверки происхождения.
Почему атака похожа на операцию против цепочки поставок
HiddenLayer нашла ещё шесть репозиториев с похожим Python-загрузчиком. Среди них были проекты с названиями Bonsai-8B-gguf, DeepSeek-V4-Pro и несколько сборок с упоминанием Qwen, Claude, Opus и Gemma. Такой набор имён рассчитан на аудиторию, которая тестирует новые модели и скачивает экспериментальные сборки без долгой проверки.
Исследователи также связали часть инфраструктуры с другой кампанией: вредоносным npm-пакетом trevlo. Его опубликовали 4 апреля 2026 года, после чего пакет скачали более 2,300 раз. По данным Panther, после установки он скрытно запускал JavaScript-загрузчик, а затем скачивал компонент Winos 4.0, также известный как ValleyRAT.
ValleyRAT давно встречается в атаках через рассылки и отравление поисковой выдачи. HiddenLayer допускает, что кампании могут быть связаны и нацелены на открытые экосистемы разработки, где доверие часто строится на имени автора, количестве звёзд и позиции в трендах.
Чем это важно для разработчиков и обычных пользователей
Репозитории с моделями ИИ всё чаще превращаются в обычный канал доставки вредоносного кода. Пользователь думает, что скачивает веса модели или пример запуска, но вместе с ними получает сценарий, который управляет PowerShell, меняет настройки антивируса и собирает секреты из браузера.
Это особенно опасно для людей, которые работают с API-ключами, криптокошельками, корпоративной почтой и файлами клиентов на одном компьютере. Похожий урок уже дала история с утечками в инструментах ИИ: мы разбирали, как уязвимость Ollama грозит утечкой ключей API и переписок. А развитие защитных ИИ-инструментов само по себе не отменяет базовую проверку источника — даже если речь идёт о проекте с громким брендом, как в материале про то, что OpenAI запустила Daybreak: ИИ будет искать уязвимости в коде.
Главный вывод простой: популярность репозитория не равна безопасности. Тренды, лайки и скачивания легко накрутить, а вредоносный файл может лежать рядом с правдоподобным описанием и знакомыми названиями.
Практический вывод: что проверить сейчас
- Не запускайте «start.bat», «loader.py» и похожие сценарии из репозиториев, пока не проверили владельца, историю коммитов, обсуждения и состав файлов.
- Сравнивайте имя автора и путь репозитория с официальными каналами проекта. Разница в одном слове или префиксе — повод остановиться.
- Если вы скачивали Open-OSS/privacy-filter или похожие сборки, изолируйте компьютер от сети и проверьте систему защитным ПО.
- С чистого устройства смените пароли к почте, мессенджерам, банковским и рабочим сервисам. Завершите активные сессии в браузерах и приложениях.
- Перевыпустите API-ключи, токены доступа и ключи от облачных сервисов, если они хранились на заражённом компьютере.
- Проверьте расширения браузера, сохранённые пароли, криптокошельки и файлы с seed-фразами. Не храните такие фразы в обычных текстовых документах.
- Для экспериментов с моделями используйте отдельную среду: тестовую машину, отдельный профиль без личных аккаунтов и минимум сохранённых секретов.
- В публичных сетях используйте сервис безопасного интернет-соединения, чтобы снизить риск перехвата данных и защитить приватность трафика.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.