Privacy Filter su Hugging Face, ma è la versione infetta

I ricercatori di HiddenLayer hanno scoperto un nuovo repository su Hugging Face per Privacy Filter, il piccolo modello AI rilasciato da OpenAI a fine aprile che permette di nascondere le informazioni personali dai prompt. In poco tempo è diventato molto popolare sulla piattaforma. Non si tratta però del progetto legittimo, in quanto è stato usato per distribuire un infostealer.

Oltre 244.000 download per il progetto sbagliato

Il repository ufficiale di Privacy Filter è openai/privacy-filter. Il nome del falso repository era Open-OSS/privacy-filter (dopo la segnalazione di HiddenLayer è stato rimosso). Era quasi un copia identica all’originale, ma nel file README.md erano indicate differenti istruzioni per l’uso del modello.

L’utente doveva clonare il repository ed eseguirlo localmente su Windows o Linux con i comandi specificati. Veniva quindi avviato uno script Python che, in background, disattivava la verifica SSL e decodificava un URL. Da questo indirizzo veniva scaricato un payload JSON contenente un comando PowerShell.

Il comando permetteva di ottenere privilegi elevati, aggiungere un’esclusione a Microsoft Defender e creare un’attività pianificata per la persistenza. Il payload finale era un infostealer scritto in Rust che poteva rubare numerosi dati: cookie, password e token di sessione dai browser basati su Chromium e Gecko, master key, database e token di Discord, estensioni e app per wallet di criptovalute, credenziali VPN, SSH e FTP, screenshot e informazioni sul sistema.

I dati venivano quindi compressi con gzip e inviati al server remoto. Non è noto il numero esatto delle vittime. Il repository ha ricevuto 667 like e circa 244.000 download, ma gli account potrebbero essere falsi (quasi tutti sono stati generati in automatico). Gli utenti devono ovviamente eliminare il repository dal computer e cambiare tutte le password.