Uma campanha sofisticada explodiu a confiança nos repositórios de modelos de Hugging Face ao subir uma peça de malware que se fez passar pelo projeto legítimo de OpenAI chamado “Privacy Filter”. O repositório malicioso chegou a estar na lista de tendências e acumulou, segundo as métricas públicas, cerca de 244.000 downloads antes de ser eliminado, um incidente que evidencia como os mercados de modelos podem se tornar vetores de distribuição massiva para código malicioso.
A pesquisa foi publicada pela empresa HiddenLayer, que detectou a coleção fraudulenta em 7 de maio. De acordo com a análise técnica, o repositório usado técnicas de typosquatting e copiou a documentação oficial para passar despercebido; na verdade incluía um ficheiro loader.py cuja função real era desactivar as verificações SSL, resolver um URL codificado com base64 e executar uma carga útil remota através do PowerShell que terminava instalando um infostealer escrito em Rust apodado "sefirah". A cadeia de infecção incluía escalada de privilégios, modificação de exclusões da Microsoft Defender e exfiltração de dados a um servidor de comando e controle.
O malware relatado tinha um perfil de ataque direcionado à coleta ampla de segredos: credenciais e cookies de navegadores Chromium e Gecko, tokens de Discord, chaves e extensões de carteiras de criptomoedas, arquivos de configuração de SSH/FTP/VPN, sementes de carteiras e capturas de tela de múltiplos monitores. HiddenLayer também documentou várias técnicas anti-análises para evitar sua detecção em ambientes virtuais e sandboxes, o que complica o trabalho dos equipamentos de resposta a incidentes.
Há dúvidas legítimas sobre o alcance real do dano: muitos “me gostam” e downloads podem ter sido inflados por contas automatizadas ou métricas artificiais, mas isso não atenua o risco técnico ou a necessidade de conter a ameaça. Além disso, os pesquisadores detectaram reutilização da mesma infraestrutura de carga entre vários repositórios e possível relação com campanhas de typosquatting em npm, o que sugere uma operação organizada que aponta cadeias de fornecimento de software.
As implicações práticas são claras: As plataformas de intercâmbio de modelos e datasets não são imunes ao abuso; a sua natureza aberta transforma-as em objetivos atrativos para atores maliciosos que buscam distribuição e anonimato. Isso obriga a reforçar a higiene tanto a nível de plataforma como de usuário: validação de autores, digitalização automática de código, assinatura de artefatos e controles de confiança mais estritos para elementos que são executados localmente.
Se você baixar arquivos do repositório afetado ou suspeitar que você pode executar código de fontes não verificadas, a recomendação técnica mais segura é contundente: reimagina a equipe, rota todas as credenciais e substitui as carteiras e frases semente de criptomoedas. Além disso, invalida sessões de navegador e tokens OAuth, substitui chaves SSH/FTP, revisa exclusões em seu antivírus e considera que uma limpeza por ferramentas nem sempre elimina portas traseiras sofisticadas.
Para usuários e equipamentos que não foram infectados, mas trabalham com modelos externos, convém aplicar medidas preventivas: executar modelos e scripts em ambientes isolados ou máquinas virtuais, revisar o código-fonte e os scripts de carga antes da sua execução, preferir modelos publicados por organizações verificadas e usar assinaturas ou hashes conhecidos para verificar integridade. Do ponto de vista operacional, monitoriza conexões salientes suspeitas e bloqueia domínios associados a C2 quando apropriado.
As plataformas também têm tarefas pendentes: melhorar a detecção automática de padrões maliciosos em arquivos de repositório, endurecer processos de moderação de conteúdo, oferecer metadados verificáveis sobre autores e facilitar relatórios rápidos aos incident responder. Hugging Face e outros fornecedores devem equilibrar abertura e segurança para reduzir a superfície de ataque sem estrangular a investigação e a colaboração.
Se você quer ler o relatório técnico que detalha esta campanha, HiddenLayer publicou sua análise aqui: HiddenLayer — Malware encontrado no repositório de Hugging Face. Para entender as políticas e controles da plataforma, consulte a página de segurança do Hugging Face: Hugging Face — Security. Estas leituras ajudam a contextualizar por que a verificação de fontes e a execução em ambientes controlados não são opções, mas práticas indispensáveis.
Em suma, este incidente é um lembrete de que a flexibilidade dos ecossistemas da IA acarreta riscos concretos de segurança. Proteger-se exige trabalhar em duas frentes: exigir melhorias estruturais às plataformas e adotar defesas práticas no ambiente do desenvolvedor e do usuário final.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...