Một kho lưu trữ Hugging Face độc hại đã lọt vào danh sách thịnh hành của nền tảng bằng cách mạo danh mô hình open-weight Privacy Filter của OpenAI để phát tán một công cụ đánh cắp thông tin (infostealer) viết bằng Rust cho người dùng Windows.
Dự án này mang tên Open-OSS/privacy-filter, đã giả mạo phiên bản chính chủ được OpenAI phát hành vào cuối tháng trước (openai/privacy-filter), bao gồm cả việc sao chép nguyên văn toàn bộ phần mô tả để lừa những người dùng không cảnh giác tải về. Quyền truy cập vào mô hình độc hại này hiện đã bị Hugging Face vô hiệu hóa.
Privacy Filter được công ty trí tuệ nhân tạo (AI) OpenAI công bố vào tháng 4 năm 2026 như một cách để phát hiện và chỉnh sửa thông tin nhận dạng cá nhân (PII) trong văn bản phi cấu trúc, nhằm tích hợp các biện pháp bảo vệ quyền riêng tư và an ninh mạnh mẽ vào các ứng dụng.
"Kho lưu trữ này đã thực hiện hành vi typosquatted bản phát hành Privacy Filter chính thống của OpenAI, sao chép thẻ mô hình gần như nguyên văn và gửi kèm một tệp loader.py để tải và thực thi mã độc infostealer trên máy tính Windows," Nhóm Nghiên cứu HiddenLayer cho biết trong một báo cáo được công bố tuần trước.
Dự án độc hại này hướng dẫn người dùng sao chép (clone) kho lưu trữ và chạy một tệp batch ("start.bat") cho Windows hoặc một tệp Python ("loader.py") cho hệ điều hành Linux hoặc macOS để cấu hình tất cả các phụ thuộc cần thiết và khởi động mô hình.
Chuỗi lây nhiễm đa tầng
Sau khi được khởi chạy, tệp Python sẽ kích hoạt mã độc chịu trách nhiệm vô hiệu hóa xác minh SSL, giải mã một URL được mã hóa Base64 lưu trữ trên JSON Keeper và sử dụng nó để trích xuất một lệnh chuyển đến PowerShell để thực thi sau đó. Việc sử dụng JSON Keeper, một dịch vụ dán JSON công khai, làm "dead drop resolver" cho phép kẻ tấn công thay đổi nội dung payload linh hoạt mà không cần sửa đổi kho lưu trữ.
Lệnh PowerShell được sử dụng để tải xuống một tệp batch từ máy chủ từ xa ("api.eth-fastscan[.]org") và khởi chạy nó bằng "cmd.exe". Tệp batch này hoạt động như một trình tải xuống giai đoạn hai, chuẩn bị môi trường bằng cách nâng cao đặc quyền thông qua lời nhắc User Account Control (UAC), cấu hình các ngoại lệ cho Microsoft Defender Antivirus, tải xuống tệp thực thi giai đoạn tiếp theo từ cùng một tên miền và thiết lập một tác vụ theo lịch trình (scheduled task) để chạy tệp thực thi qua PowerShell.
Khi tác vụ theo lịch trình được kích hoạt, mã độc sẽ đợi trong hai giây trước khi tự xóa chính nó. Giai đoạn cuối cùng là một công cụ đánh cắp thông tin được thiết kế để chụp màn hình và thu thập dữ liệu từ Discord, ví tiền điện tử và các tiện ích mở rộng, siêu dữ liệu hệ thống, các tệp cấu hình như FileZilla và cụm từ khôi phục ví (seed phrases), cùng các trình duyệt web dựa trên nhân Chromium và Gecko.
"Mặc dù sử dụng tác vụ theo lịch trình, giai đoạn này không thiết lập sự hiện diện lâu dài (persistence): tác vụ sẽ bị hủy trước khi khởi động lại. Nó được sử dụng như một trình kích hoạt ngữ cảnh SYSTEM chạy một lần," HiddenLayer giải thích.
Công cụ đánh cắp này cũng thực hiện các kiểm tra để phát hiện trình gỡ lỗi (debuggers) và sandbox, xác nhận rằng nó không chạy trong máy ảo, đồng thời cố gắng vô hiệu hóa Windows Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW) để tránh bị phát hiện hành vi. Dữ liệu bị đánh cắp được chuyển ra ngoài dưới định dạng JSON đến tên miền "recargapopular[.]com".
Quy mô và các biến thể khác
Trước khi bị vô hiệu hóa, mô hình này được cho là đã đạt vị trí số 1 trong danh sách thịnh hành trên Hugging Face với khoảng 244.000 lượt tải xuống và 667 lượt thích trong vòng 18 giờ. Người ta nghi ngờ rằng những con số này đã được thổi phồng nhân tạo để tạo ra vẻ ngoài đáng tin cậy cho kho lưu trữ, lừa người dùng tải về.
Phân tích sâu hơn về hoạt động này đã phát hiện thêm sáu kho lưu trữ khác có bộ tải Python tương tự để triển khai mã độc đánh cắp:
- anthfu/Bonsai-8B-gguf
- anthfu/Qwen3.6-35B-A3B-APEX-GGUF
- anthfu/DeepSeek-V4-Pro
- anthfu/Qwopus-GLM-18B-Merged-GGUF
- anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
- anthfu/supergemma4-26b-uncensored-gguf-v2
HiddenLayer cũng quan sát thấy tên miền "api[.]eth-fastscan[.]org" được sử dụng để cung cấp một tệp thực thi Windows khác ("o0q2l47f.exe") có kết nối đến "welovechinatown[.]info", một máy chủ điều khiển (C2) từng được sử dụng trong một chiến dịch trước đó. Trong chiến dịch đó, một gói npm độc hại mang tên trevlo đã được tận dụng để phát tán ValleyRAT (còn gọi là Winos 4.0).
Thư viện Node.js này đã được tải xuống hơn 2.300 lần sau khi được xuất bản bởi một người dùng tên là "titaniumg" vào ngày 4 tháng 4 năm 2026, mặc dù không rõ số lượt tải xuống có bị thao túng hay không. Hiện nó không còn trên npm.
"Postinstall hook của gói này âm thầm thực thi một trình tải JavaScript bị làm xáo trộn, kích hoạt một lệnh PowerShell mã hóa base64, sau đó lệnh này sẽ tải và thực thi một tập lệnh PowerShell giai đoạn hai từ hạ tầng do kẻ tấn công kiểm soát," Panther lưu ý vào tháng trước.
Tập lệnh đó tải xuống và chạy một tệp nhị phân stager của Winos 4.0 ("CodeRun102.exe") với các kỹ thuật lẩn tránh đầy đủ, bao gồm thực thi cửa sổ ẩn, xóa Zone Identifier và tách rời tiến trình.
Cuộc tấn công này đáng chú ý vì nó đại diện cho một vector truy cập ban đầu mới của ValleyRAT, một Trojan truy cập từ xa (RAT) dạng module được biết đến là thường phân phối qua email lừa đảo và SEO poisoning. Việc sử dụng ValleyRAT được cho là thuộc về một nhóm hacker Trung Quốc có tên Silver Fox.
"Hạ tầng chia sẻ gợi ý rằng các chiến dịch này có thể liên quan đến nhau và là một phần của một chiến dịch tấn công chuỗi cung ứng rộng lớn hơn nhắm vào các hệ sinh thái mã nguồn mở," HiddenLayer cho biết.
