Um repositório malicioso hospedado no Hugging Face, que se passava por um lançamento oficial da OpenAI, foi utilizado para distribuir um malware do tipo infostealer para máquinas Windows. Segundo pesquisa da firma de segurança HiddenLayer, o repositório, identificado como 'Open-OSS/privacy-filter', acumulou cerca de 244 mil downloads antes de ser removido pela plataforma. A leitura editorial é que o número pode ter sido artificialmente inflado pelos atacantes para conferir uma falsa autoridade ao projeto.
O incidente exemplifica como os repositórios de modelos de IA estão se tornando vetores críticos na cadeia de suprimentos de software. Desenvolvedores e cientistas de dados frequentemente clonam modelos diretamente para ambientes corporativos que possuem acesso a credenciais de nuvem e código-fonte sensível, transformando uma simples biblioteca de IA em uma porta de entrada para invasões.
A mecânica da infecção
A estratégia dos atacantes consistiu em copiar quase exatamente o cartão de modelo original, inserindo um arquivo loader.py malicioso. Este script, disfarçado de carregador comum, desativava a verificação SSL e utilizava o serviço jsonkeeper.com como canal de comando e controle. Isso permitia que os atacantes alterassem a carga útil sem modificar o conteúdo do repositório, mantendo a persistência através de tarefas agendadas que simulavam atualizações legítimas do Microsoft Edge.
O payload final era um infostealer baseado na linguagem Rust, projetado para extrair dados de navegadores, carteiras de criptomoedas e configurações de FileZilla. Além disso, o malware tentava desativar mecanismos de segurança do Windows, como o Antimalware Scan Interface, evidenciando um nível de sofisticação voltado para contornar defesas tradicionais de endpoint.
Riscos na cadeia de suprimentos
O caso não é isolado; a HiddenLayer identificou outros seis repositórios no Hugging Face com lógica de carregamento idêntica. O problema central reside no fato de que repositórios de IA contêm, além dos pesos dos modelos, scripts de configuração e arquivos executáveis que raramente passam por auditorias de segurança rigorosas. Ferramentas tradicionais de análise de composição de software (SCA) foram desenhadas para inspecionar bibliotecas e contêineres, mostrando-se ineficazes contra esse tipo de lógica maliciosa embutida.
A recomendação técnica para organizações que clonaram o repositório é tratar os sistemas como totalmente comprometidos, procedendo com a formatação e reinstalação. Sessões de navegador, mesmo sem senhas salvas localmente, devem ser consideradas expostas devido ao risco de roubo de cookies de sessão, que podem contornar autenticações de múltiplos fatores.
O futuro da governança em IA
A fragilidade observada coloca em xeque a confiança em registros públicos de modelos. Especialistas apontam para a necessidade de uma "lista de materiais" (SBOM) para sistemas de IA, permitindo que empresas rastreiem a origem e os componentes executáveis de cada artefato utilizado. A expectativa é que, até 2027, uma parcela significativa dos sistemas de IA agente exija tal nível de transparência para mitigar riscos de supply chain.
Fica a questão sobre como equilibrar a natureza aberta e colaborativa do desenvolvimento de IA com a necessidade de segurança corporativa. Enquanto a indústria não padroniza processos de verificação, a responsabilidade pela integridade dos modelos recai pesadamente sobre os usuários finais e suas equipes de cibersegurança.
Com reportagem de Brazil Valley
Source · AI News
