Un repositorio malicioso logró durante horas ubicarse en la lista de tendencias de Hugging Face haciéndose pasar por la versión open-weight del modelo Privacy Filter de OpenAI, y fue empleado como vector para distribuir un infostealer orientado a usuarios de Windows. Según el análisis publicado por el equipo de investigación de HiddenLayer, el proyecto clonó la descripción del modelo legítimo para inducir confianza, incluyó instrucciones para ejecutar un batch en Windows y un cargador en Python que, al ejecutarse, deshabilitaba verificaciones SSL y descargaba órdenes desde un servicio público de JSON para finalmente lanzar un ejecutable vía PowerShell.
El ataque muestra dos rasgos preocupantes: por un lado, la capacidad de transformar una publicación aparentemente inocua en un instalador remoto y, por otro, el uso de "dead drop resolvers" públicos como JSON Keeper para cambiar cargas útiles sin tocar el repositorio original. El cargador usaba esa técnica para resolver una URL codificada en Base64 que apuntaba a scripts alojados en una infraestructura que también ha sido vinculada a campañas anteriores que distribuyeron ValleyRAT, un troyano de acceso remoto modular asociado con operadores conocidos por campañas de supply chain y phishing.
En la cadena de infección descrita, el segundo escalón elevaba privilegios mediante un aviso de UAC, manipulaba exclusiones de Microsoft Defender, instalaba una tarea programada para ejecutar el binario final y luego borraba rastros locales. El componente final estaba diseñado para capturar pantallas y exfiltrar credenciales y datos de extensiones y monederos de criptomonedas, además de intentar evadir detecciones desactivando AMSI y rastros de ETW. Hugging Face deshabilitó el acceso al repositorio tras la detección, pero antes de ello el proyecto habría alcanzado la primera posición en trending y acumulado cientos de miles de descargas, números que investigadores sospechan fueron inflados artificialmente para generar confianza.
Este incidente subraya un cambio de paradigma: las plataformas de modelos y paquetes ya no son solo repositorios pasivos, son vectores potenciales de acceso inicial que los atacantes tratan de explotar combinando ingeniería social, infraestructura compartida y abuso de mecanismos de confianza como el posicionamiento en listas populares. Las consecuencias son relevantes tanto para equipos de producto como para desarrolladores y responsables de seguridad: la popularidad aparente no garantiza integridad y la ejecución de scripts descargados sin revisión es una práctica de riesgo elevado.
Para usuarios y equipos que manejan modelos y artefactos de terceros, las recomendaciones prácticas empiezan por aplicar el principio mínimo de confianza: no ejecutar scripts de inicio (start.bat, loader.py u otros) sin auditar su contenido, ejecutar pruebas en entornos aislados y no conectados a redes corporativas, y preferir cargas y artefactos firmados o verificados. Si se requiere probar un modelo, hacerlo en máquinas virtuales con snapshots, controlar el tráfico saliente y analizar binarios y scripts con herramientas de EDR y sandboxes. Para repositorios y paquetes, validar la identidad del autor, comprobar que el modelo corresponde al proyecto oficial (por ejemplo, usando enlaces y metadatos en la organización oficial) y revisar el historial de commits y los archivos ejecutables incluidos.
Las plataformas que alojan modelos deben complementar controles manuales con escaneos automatizados que detecten patrones de typosquatting, coincidencias casi idénticas de descripciones, scripts que ejecutan descargas remotas o deshabilitan verificaciones de seguridad, y señales de manipulación de métricas (likes, descargas). También es recomendable implementar firmas de artefactos y verificar integridad en el cliente antes de permitir ejecución local, así como ofrecer entornos de inferencia gestionados que eviten la ejecución arbitrary code por parte del usuario. Medidas similares están reflejadas en guías de protección de la cadena de suministro y técnicas de ejecución remota descritas por organismos como CISA y los marcos de ATT&CK es conveniente consultarlos para endurecer políticas y detección: https://www.cisa.gov/supply-chain y https://attack.mitre.org/techniques/T1059/.
Si sospechas que descargaste o ejecutaste contenido del repositorio malicioso, desconecta el equipo de la red, preserva evidencias (logs, archivos temporales, scripts ejecutados) y realiza un análisis forense o remota con un proveedor especializado. Actualiza firmas y escaneos de antivirus, revisa las tareas programadas y las exclusiones de Defender, y considera cambiar credenciales y claves potencialmente comprometidas. Reportar el incidente a la plataforma (Hugging Face en este caso) y compartir indicadores con la comunidad ayuda a contener la operación y a proteger a otros usuarios: la resiliencia del ecosistema depende tanto de controles técnicos como de la rápida comunicación de abusos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...