Поддельная модель OpenAI воровала пароли, крипту и сессии Discord

Исследователи из HiddenLayer обнаружили вредоносный репозиторий Open-OSS/privacy-filter на Hugging Face, который маскировался под легитимный релиз OpenAI Privacy Filter. За 18 часов он собрал около 244 000 загрузок и 667 лайков, добрался до первой строчки трендов платформы и был удален только после обращения исследователей.

Карточка модели скопирована с настоящего релиза OpenAI почти дословно — вплоть до ссылки на оригинальный PDF. Отличие — одна правка в README: пользователю предлагается клонировать репозиторий и запустить start.bat под Windows или python loader.py под Linux и macOS. Из 667 лайков подавляющее большинство пришлось на боты с шаблонными никами в формате firstname-lastname### — цифры явно накручивали, чтобы репозиторий выглядел популярным.

Под обложкой загрузчика — инфостилер на Rust размером 1 МБ. Атака работает только под Windows: на Linux и macOS вредоносный код тихо падает. После запуска зловред пытается отключить встроенную защиту Windows, проверяет окружение на виртуальную машину и отладчики, а затем параллельно собирает данные из браузеров (пароли, cookies, ключи шифрования), Discord (токены и master key), криптокошельков, FileZilla, SSH и VPN-конфигов. Дополнительно делает скриншоты всех мониторов. Все собранное упаковывается в JSON и уходит на сервер атакующих.

Это не единичная история. HiddenLayer нашла еще шесть репозиториев под аккаунтом anthfu, залитых 24 апреля 2026 года: они маскировались под популярные открытые модели — DeepSeek-V4-Pro, Bonsai-8B-gguf, дистилляты Qwen с участием Claude 4.6 Opus, supergemma4-26b-uncensored. Внутри — тот же загрузчик. Инфраструктура атаки пересекается с npm-кампанией, доставлявшей имплант WinOS 4.0, — то есть это часть более широкой supply-chain операции против