冒充 OpenAI Privacy Filter 的恶意仓库冲上 Hugging Face 趋势榜首

一个名为 Open-OSS/privacy-filter 的恶意 Hugging Face 仓库冒充 OpenAI 开源的 Privacy Filter 模型，通过加载器脚本传播用 Rust 编写的信息窃取程序。该仓库一度登上 Hugging Face 趋势榜第一，累计下载约 24.4 万次，目前已被平台禁用。

攻击手法

OpenAI 于 2026 年 4 月开源了 Privacy Filter 模型，用于检测和脱敏非结构化文本中的个人隐私信息（PII）。攻击者迅速创建了 Open-OSS/privacy-filter 仓库，将官方模型描述几乎原封不动地复制过来，但在仓库中植入了恶意 loader.py 脚本。

仓库引导用户克隆后运行 start.bat（Windows）或 loader.py（Linux/macOS）来配置依赖并启动模型。一旦执行，攻击链如下展开：

1. loader.py 禁用 SSL 证书验证
2. 从 JSON Keeper（公共 JSON 粘贴服务）解码 Base64 编码的 URL
3. 提取命令并通过 PowerShell 执行
4. PowerShell 从远程服务器 api.eth-fastscan[.]org 下载批处理脚本
5. 批处理脚本通过 UAC 弹窗提权，配置 Microsoft Defender 排除项，下载最终载荷，并创建计划任务启动
6. 计划任务启动后等待 2 秒自动删除，以 SYSTEM 权限运行信息窃取程序

使用 JSON Keeper 作为死点解析器（dead drop resolver），攻击者可以在不修改仓库代码的情况下随时切换载荷。

窃取目标

最终阶段的信息窃取程序具备以下能力：

• 截屏
• 窃取 Discord 数据
• 窃取加密货币钱包和浏览器扩展数据
• 收集系统元数据
• 窃取 FileZilla 配置和钱包助记词
• 窃取基于 Chromium 和 Gecko 引擎的浏览器数据

窃取程序还会检测调试器和沙箱环境、判断是否运行在虚拟机中，并尝试禁用 Windows AMSI 和 ETW 以规避行为检测。窃取的数据以 JSON 格式外传至 recargapopular[.]com 域名。

值得注意的是，该窃取程序不建立持久化——计划任务在执行后即被销毁，仅作为一次性 SYSTEM 权限启动器使用。

更多恶意仓库

安全公司 HiddenLayer 在进一步分析中发现了 6 个采用类似 Python 加载器的恶意仓库，均来自 anthfu/ 账号：

• anthfu/Bonsai-8B-gguf
• anthfu/Qwen3.6-35B-A3B-APEX-GGUF
• anthfu/DeepSeek-V4-Pro
• anthfu/Qwopus-GLM-18B-Merged-GGUF
• anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF
• anthfu/supergemma4-26b-uncensored-gguf-v2

同一攻击域名此前还用于分发 ValleyRAT（又名 Winos 4.0）远程控制木马，攻击基础设施与银狐（Silver Fox）黑客组织存在重叠。ValleyRAT 此前通过恶意 npm 包 trevlo 进行传播，该包在 2026 年 4 月被下载超过 2300 次后从 npm 下架。

该仓库在 18 小时内获得约 244,000 次下载和 667 个点赞，这些数据被怀疑通过自动化手段人工刷高，目的是制造信任假象诱导更多用户下载。

防范建议

• 克隆仓库前仔细核对作者是否为官方账号
• 不要直接运行仓库中的 .bat / .py 安装脚本
• 对短时间内下载量和点赞数异常飙升的新仓库保持警惕
• 在隔离环境中测试未知来源的模型

来源：The Hacker News · 原文链接