Исследователи из HiddenLayer обнаружили вредоносный репозиторий Open-OSS/privacy-filter на Hugging Face, который маскировался под легитимный релиз OpenAI Privacy Filter. За 18 часов он собрал около 244 000 загрузок и 667 лайков, добрался до первой строчки трендов платформы и был удален только после обращения исследователей.
Карточка модели скопирована с настоящего релиза OpenAI почти дословно — вплоть до ссылки на оригинальный PDF. Отличие — одна правка в README: пользователю предлагается клонировать репозиторий и запустить start.bat под Windows или python loader.py под Linux и macOS. Из 667 лайков подавляющее большинство пришлось на боты с шаблонными никами в формате firstname-lastname### — цифры явно накручивали, чтобы репозиторий выглядел популярным.
Под обложкой загрузчика — инфостилер на Rust размером 1 МБ. Атака работает только под Windows: на Linux и macOS вредоносный код тихо падает. После запуска зловред пытается отключить встроенную защиту Windows, проверяет окружение на виртуальную машину и отладчики, а затем параллельно собирает данные из браузеров (пароли, cookies, ключи шифрования), Discord (токены и master key), криптокошельков, FileZilla, SSH и VPN-конфигов. Дополнительно делает скриншоты всех мониторов. Все собранное упаковывается в JSON и уходит на сервер атакующих.
Это не единичная история. HiddenLayer нашла еще шесть репозиториев под аккаунтом anthfu, залитых 24 апреля 2026 года: они маскировались под популярные открытые модели — DeepSeek-V4-Pro, Bonsai-8B-gguf, дистилляты Qwen с участием Claude 4.6 Opus, supergemma4-26b-uncensored. Внутри — тот же загрузчик. Инфраструктура атаки пересекается с npm-кампанией, доставлявшей имплант WinOS 4.0, — то есть это часть более широкой supply-chain операции против открытых экосистем разработки.
Hugging Face подтвердил нарушение правил и удалил репозиторий. Всем, кто успел запустить start.bat или python loader.py, HiddenLayer советует не лечить машину, а переустанавливать систему с нуля, ротировать все пароли и токены, перевести крипту на новый кошелек с чистого устройства и инвалидировать сессии Discord. Опрошенные CSO Online аналитики из IDC и Gartner подчеркивают: традиционные инструменты анализа зависимостей не умеют находить вредоносную логику внутри AI-репозиториев — нужны отдельные контроли на уровне модельных реестров.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
