Default
Door Remote - 12 May 2026
In het kort
Een kwaadaardige Hugging Face-repository die het Privacy Filter-model van OpenAI nabootst, bereikte #1 trending op het platform.
De malware registreerde ongeveer 244.000 downloads en 667 likes in minder dan 18 uur voordat hij werd verwijderd.
De repository leverde een infostealer in zes fasen die browserwachtwoorden, Discord-tokens, crypto-portemonneesleutels en SSH-inloggegevens van Windows-machines verzamelde en alles vervolgens stilletjes naar door aanvallers bestuurde servers stuurde.
OpenAI heeft eind april Privacy Filter uitgebracht: een klein, open model dat is gebouwd om persoonlijk identificeerbare informatie uit tekst te detecteren en automatisch te redigeren. Het kwam op Hugging Face terecht onder een Apache 2.0-licentie en trok al snel de belangstelling van ontwikkelaars. Iemand merkte het.
Binnen enkele dagen publiceerde een nepaccount met de naam "Open-OSS" een vrijwel identieke opslagplaats genaamd privacy-filter. De modelkaart is woord voor woord gekopieerd van OpenAI's. Het enige verschil in het “readme”-bestand: instructies om de repository te klonen en een bestand uit te voeren met de naam start.bat op Windows, of loader.py op Linux en Mac.
Binnen 18 uur stond de neprepository op nummer 1 op de trendingpagina van Hugging Face, met ongeveer 244.000 downloads en 667 likes. HiddenLayer, het AI-beveiligingsbedrijf dat de campagne markeerde, ontdekte dat 657 van die 667 likes afkomstig waren van accounts die overeenkwamen met voorspelbare, automatisch gegenereerde botnaamgevingspatronen.
De downloadaantallen zijn vrijwel zeker op dezelfde manier opgeblazen. Vervaardigd sociaal bewijs om het aas er echt uit te laten zien.
Hoe de malware werkelijk werkte De malware werkte feitelijk als een vergiftigde pil, verpakt in een zeer overtuigend snoeplaagje. Het loader.py-script wordt geopend met een nep-modeltrainingsuitvoer (voortgangsbalken, synthetische datasets, dummy-klassenamen) die zo zijn ontworpen dat het lijkt alsof er een echte AI-lader actief is.
Onder de motorkap schakelt het stilletjes beveiligingscontroles uit, haalt een gecodeerde opdracht op van een openbare JSON-plaksite (een slimme truc: het is niet nodig om de repository bij te werken wanneer de payload verandert) en geeft die opdracht door aan PowerShell die volledig verborgen op de achtergrond draait. Windows-gebruikers zien niets.
Met die opdracht wordt een tweede script gedownload van een domein dat een blockchain-analyse-API nabootst. Dat script downloadt de daadwerkelijke malware (een op maat gemaakte infostealer geschreven in Rust), voegt deze toe aan de lijst met uitsluitingen van Windows Defender en start deze vervolgens op SYSTEEM-niveau via een geplande taak die zichzelf na het activeren onmiddellijk verwijdert. De hele keten loopt en ruimt zichzelf op en laat vrijwel geen sporen na.
De uiteindelijke lading is grondig. Het pakt alles wat is opgeslagen in Chrome en Firefox: opgeslagen wachtwoorden, sessiecookies, browsergeschiedenis, coderingssleutels, alles. Het richt zich op Discord-accounts, cryptocurrency-portemonnee-seedphrases, SSH-sleutels, FTP-inloggegevens en maakt schermafbeeldingen op alle monitoren. Vervolgens verpakt het alles als een gecomprimeerde JSON-bundel en verzendt het naar door de aanvaller bestuurde servers.
We hoeven u niet te vertellen wat de hackers later met al die informatie kunnen doen.
De malware controleert ook of deze in een virtuele machine of in een beveiligingssandbox draait, en stopt stilletjes als hij er een detecteert. Het is ontworpen om één keer op echte doelen te draaien, alles te stelen en te verdwijnen.
Waarom dit groter is dan slechts één opslagplaats Dit is geen geïsoleerd incident. Het is onderdeel van een patroon. HiddenLayer identificeerde zes extra opslagplaatsen onder een afzonderlijk Hugging Face-account genaamd "anthfu", dat eind april werd geüpload, met behulp van exact dezelfde kwaadaardige lader die naar exact dezelfde commandoserver verwijst. Die repo's imiteerden modellen als Qwen3, DeepSeek en Bonsai om AI-ontwikkelaars te lokken.
Er werd ook waargenomen dat de infrastructuur zelf (een domein met de naam api.eth-fastscan.org) een afzonderlijk malwaremonster hostte dat naar een commandoserver verwijst. HiddenLayer is van mening dat het verband tussen de twee campagnes “mogelijk met elkaar verbonden” is en waarschuwt dat gedeelde infrastructuur alleen geen enkele operator bevestigt.
Dit is hoe een supply chain-aanval tegen de AI-ontwikkelaarsgemeenschap eruit ziet. De aanvaller breekt niet in OpenAI of Hugging Face. Ze publiceren gewoon een overtuigende lookalike, spelen het trending-algoritme met bots en wachten tot de ontwikkelaars de rest doen. Een soortgelijk playbook verscheen in 2024 in de JavaScript-bibliotheek van Lottie Player en kostte één gebruiker 10 Bitcoin (destijds meer dan $ 700.000 waard).
Wat als u het zou downloaden? Als u Open-OSS/privacy-filter op een Windows-computer hebt gekloond en er een bestand van hebt uitgevoerd, moet u het apparaat als volledig gecompromitteerd beschouwen. Log nergens op die machine in voordat u deze wist.
Wijzig daarna alle inloggegevens die in uw browser zijn opgeslagen: wachtwoorden, sessiecookies, OAuth-tokens. Verplaats al het cryptogeld zo snel mogelijk naar een nieuwe portemonnee die op een schoon apparaat is gegenereerd en ga ervan uit dat de zaadzinnen zijn gestolen.
Omdat het ook uw Discord-informatie ophaalt en die service sterk geautomatiseerd is, moet u uw Discord-sessies ongeldig maken en dat wachtwoord opnieuw instellen. Alle SSH-sleutels of FTP-referenties op die machine moeten als gebrand worden beschouwd.
De repository is nu verwijderd. Huggingface heeft niet bekendgemaakt welke aanvullende screeningmaatregelen het van plan is te implementeren voor trending repository's.
Op dit moment zijn er zeven bevestigde kwaadaardige opslagplaatsen van deze campagne geïdentificeerd. Hoeveel er nog meer bestaan – of bestonden voordat ze werden ontdekt – blijft onbekend.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Een kwaadaardige Hugging Face-repository die het Privacy Filter-model van OpenAI nabootst, bereikte #1 trending op het platform.
De malware registreerde ongeveer 244.000 downloads en 667 likes in minder dan 18 uur voordat hij werd verwijderd.
De repository leverde een infostealer in zes fasen die browserwachtwoorden, Discord-tokens, crypto-portemonneesleutels en SSH-inloggegevens van Windows-machines verzamelde en alles vervolgens stilletjes naar door aanvallers bestuurde servers stuurde.
OpenAI heeft eind april Privacy Filter uitgebracht: een klein, open model dat is gebouwd om persoonlijk identificeerbare informatie uit tekst te detecteren en automatisch te redigeren. Het kwam op Hugging Face terecht onder een Apache 2.0-licentie en trok al snel de belangstelling van ontwikkelaars. Iemand merkte het.
Binnen enkele dagen publiceerde een nepaccount met de naam "Open-OSS" een vrijwel identieke opslagplaats genaamd privacy-filter. De modelkaart is woord voor woord gekopieerd van OpenAI's. Het enige verschil in het “readme”-bestand: instructies om de repository te klonen en een bestand uit te voeren met de naam start.bat op Windows, of loader.py op Linux en Mac.
Binnen 18 uur stond de neprepository op nummer 1 op de trendingpagina van Hugging Face, met ongeveer 244.000 downloads en 667 likes. HiddenLayer, het AI-beveiligingsbedrijf dat de campagne markeerde, ontdekte dat 657 van die 667 likes afkomstig waren van accounts die overeenkwamen met voorspelbare, automatisch gegenereerde botnaamgevingspatronen.
De downloadaantallen zijn vrijwel zeker op dezelfde manier opgeblazen. Vervaardigd sociaal bewijs om het aas er echt uit te laten zien.
Hoe de malware werkelijk werkte De malware werkte feitelijk als een vergiftigde pil, verpakt in een zeer overtuigend snoeplaagje. Het loader.py-script wordt geopend met een nep-modeltrainingsuitvoer (voortgangsbalken, synthetische datasets, dummy-klassenamen) die zo zijn ontworpen dat het lijkt alsof er een echte AI-lader actief is.
Onder de motorkap schakelt het stilletjes beveiligingscontroles uit, haalt een gecodeerde opdracht op van een openbare JSON-plaksite (een slimme truc: het is niet nodig om de repository bij te werken wanneer de payload verandert) en geeft die opdracht door aan PowerShell die volledig verborgen op de achtergrond draait. Windows-gebruikers zien niets.
Met die opdracht wordt een tweede script gedownload van een domein dat een blockchain-analyse-API nabootst. Dat script downloadt de daadwerkelijke malware (een op maat gemaakte infostealer geschreven in Rust), voegt deze toe aan de lijst met uitsluitingen van Windows Defender en start deze vervolgens op SYSTEEM-niveau via een geplande taak die zichzelf na het activeren onmiddellijk verwijdert. De hele keten loopt en ruimt zichzelf op en laat vrijwel geen sporen na.
De uiteindelijke lading is grondig. Het pakt alles wat is opgeslagen in Chrome en Firefox: opgeslagen wachtwoorden, sessiecookies, browsergeschiedenis, coderingssleutels, alles. Het richt zich op Discord-accounts, cryptocurrency-portemonnee-seedphrases, SSH-sleutels, FTP-inloggegevens en maakt schermafbeeldingen op alle monitoren. Vervolgens verpakt het alles als een gecomprimeerde JSON-bundel en verzendt het naar door de aanvaller bestuurde servers.
We hoeven u niet te vertellen wat de hackers later met al die informatie kunnen doen.
De malware controleert ook of deze in een virtuele machine of in een beveiligingssandbox draait, en stopt stilletjes als hij er een detecteert. Het is ontworpen om één keer op echte doelen te draaien, alles te stelen en te verdwijnen.
Waarom dit groter is dan slechts één opslagplaats Dit is geen geïsoleerd incident. Het is onderdeel van een patroon. HiddenLayer identificeerde zes extra opslagplaatsen onder een afzonderlijk Hugging Face-account genaamd "anthfu", dat eind april werd geüpload, met behulp van exact dezelfde kwaadaardige lader die naar exact dezelfde commandoserver verwijst. Die repo's imiteerden modellen als Qwen3, DeepSeek en Bonsai om AI-ontwikkelaars te lokken.
Er werd ook waargenomen dat de infrastructuur zelf (een domein met de naam api.eth-fastscan.org) een afzonderlijk malwaremonster hostte dat naar een commandoserver verwijst. HiddenLayer is van mening dat het verband tussen de twee campagnes “mogelijk met elkaar verbonden” is en waarschuwt dat gedeelde infrastructuur alleen geen enkele operator bevestigt.
Dit is hoe een supply chain-aanval tegen de AI-ontwikkelaarsgemeenschap eruit ziet. De aanvaller breekt niet in OpenAI of Hugging Face. Ze publiceren gewoon een overtuigende lookalike, spelen het trending-algoritme met bots en wachten tot de ontwikkelaars de rest doen. Een soortgelijk playbook verscheen in 2024 in de JavaScript-bibliotheek van Lottie Player en kostte één gebruiker 10 Bitcoin (destijds meer dan $ 700.000 waard).
Wat als u het zou downloaden? Als u Open-OSS/privacy-filter op een Windows-computer hebt gekloond en er een bestand van hebt uitgevoerd, moet u het apparaat als volledig gecompromitteerd beschouwen. Log nergens op die machine in voordat u deze wist.
Wijzig daarna alle inloggegevens die in uw browser zijn opgeslagen: wachtwoorden, sessiecookies, OAuth-tokens. Verplaats al het cryptogeld zo snel mogelijk naar een nieuwe portemonnee die op een schoon apparaat is gegenereerd en ga ervan uit dat de zaadzinnen zijn gestolen.
Omdat het ook uw Discord-informatie ophaalt en die service sterk geautomatiseerd is, moet u uw Discord-sessies ongeldig maken en dat wachtwoord opnieuw instellen. Alle SSH-sleutels of FTP-referenties op die machine moeten als gebrand worden beschouwd.
De repository is nu verwijderd. Huggingface heeft niet bekendgemaakt welke aanvullende screeningmaatregelen het van plan is te implementeren voor trending repository's.
Op dit moment zijn er zeven bevestigde kwaadaardige opslagplaatsen van deze campagne geïdentificeerd. Hoeveel er nog meer bestaan – of bestonden voordat ze werden ontdekt – blijft onbekend.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!