Um repositório malicioso conseguiu por horas se localizar na lista de tendências de Hugging Face fazendo passar pela versão open-weight do modelo Privacy Filter de OpenAI, e foi empregado como vetor para distribuir um infostealer orientado para usuários do Windows. De acordo com a análise publicada pela equipe de pesquisa de HiddenLayer, o projeto clonou a descrição do modelo legítimo para induzir confiança, incluiu instruções para executar um batch no Windows e um carregador em Python que, ao executar, deshabilitaba verificações SSL e descarregava ordens de um serviço público de JSON para finalmente lançar um executável via PowerShell.
O ataque mostra duas características preocupantes: por um lado, a capacidade de transformar uma publicação aparentemente inócua em um instalador remoto e, por outro, o uso de "dead drop resolvers" públicos como JSON Keeper para mudar cargas úteis sem tocar o repositório original. O carregador usava essa técnica para resolver um URL codificado em Base64 que apontava para scripts hospedados em uma infraestrutura que também foi ligada a campanhas anteriores que distribuíram ValleyRAT, um troiano de acesso remoto modular associado a operadores conhecidos por campanhas de supply chain e phishing.
Na cadeia de infecção descrita, o segundo escalão elevava privilégios através de um aviso de UAC, manipulava exclusões da Microsoft Defender, instalava uma tarefa programada para executar o binário final e depois apagava rastros locais. O componente final foi projetado para capturar telas e exfiltrar credenciais e dados de extensões e carteiras de criptomoedas, além de tentar fugir de detecções desativando AMSI e rastros de ETW. Hugging Face desafiou o acesso ao repositório após a detecção, mas antes disso o projeto teria alcançado a primeira posição em trending e acumulado centenas de milhares de downloads, números que pesquisadores suspeitaram foram inflados artificialmente para gerar confiança.
Este incidente sublinha uma mudança de paradigma: as plataformas de modelos e pacotes já não são apenas repositórios passivos, são vectores potenciais de acesso inicial que os atacantes tentam explorar combinando engenharia social, infraestrutura compartilhada e abuso de mecanismos de confiança como posicionamento em listas populares. As consequências são relevantes tanto para equipamentos de produto como para desenvolvedores e responsáveis pela segurança: a popularidade aparente não garante integridade e a execução de scripts baixados sem revisão é uma prática de risco elevado.
Para usuários e equipamentos que gerem modelos e artefatos de terceiros, as recomendações práticas começam a aplicar o princípio mínimo de confiança: não executar programas de inicialização (start.bat, loader.py ou outros) sem auditar o seu conteúdo, executar testes em ambientes isolados e não ligados a redes corporativas, e preferir cargas e artefatos assinados ou verificados. Se for necessário testar um modelo, fazê-lo em máquinas virtuais com snapshots, controlar o tráfego de saída e analisar binários e scripts com ferramentas de EDR e sandboxes. Para repositórios e pacotes, validar a identidade do autor, verificar que o modelo corresponde ao projeto oficial (por exemplo, usando links e metadados na organização oficial) e rever o histórico de commits e os arquivos executáveis incluídos.
As plataformas que alojam modelos devem complementar controlos manuais com digitalizaçãos automáticas que detectem padrões de typosquatting, correspondências quase idênticas de descrições, scripts que executam downloads remotos ou deshabilitan verificações de segurança e sinais de manipulação de métricas (likes, downloads). Também é recomendável implementar assinaturas de artefatos e verificar integridade no cliente antes de permitir execução local, assim como oferecer ambientes de inferência geridos que evitem a execução arbitrary code pelo usuário. Medidas semelhantes são refletidas em guias de proteção da cadeia de fornecimento e técnicas de execução remota descritas por organismos como a CISA e os quadros de ATT&CK devem ser consultados para endurecer políticas e detecção: https://www.cisa.gov/supply-chain e https://attack.mitre.org/techniques/T1059/.
Se você suspeitar que você downloadu ou executou conteúdo do repositório malicioso, desliga a equipe da rede, preserva evidências (logs, arquivos temporários, scripts executados) e realiza uma análise forense ou remota com um fornecedor especializado. Actualiza assinaturas e digitalização de antivírus, revisa as tarefas programadas e as exclusões de Defender, e considera mudar credenciais e chaves potencialmente comprometidas. Reportar o incidente à plataforma (Hugging Face neste caso) e compartilhar indicadores com a comunidade ajuda a conter a operação e a proteger outros usuários: a resiliência do ecossistema depende tanto de controles técnicos como da rápida comunicação de abusos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...