نسخة مزيفة من OpenAI Privacy Filter فـ Hugging Face صيفطات Information Stealer لـ 244 ألف مستخدم فـ 18 ساعة

خلاصة: واحد الـ repository خبيث فـ Hugging Face انتاحل صفة Privacy Filter ديال OpenAI وقدر يوصل للمركز الأول فـ التريند ديال المنصة بحوالي 244,000 تحميلة فـ ظرف 18 ساعة قبل ما يحبسوه. هاد الـ repository المزيف كان فيه loader كينفذ information stealer كيدوز من شحال من مرحلة فـ أنظمة Windows. التقاطع فـ البنية التحتية مع باكيدج أخرى فـ npm كتوصل ValleyRAT كيبين بلي كاين هجمات منسقة على سلسلة التزويد (supply chain) كتستهدف الأنظمة البيئية مفتوحة المصدر.

شنو وقع

فـ ماي 2026، باحثين أمنيين (security researchers) فـ HiddenLayer كتاشفو repository بـ تقنية typosquatting فـ Hugging Face سميتو Open-OSS/privacy-filter، كيحاكي الإصدار الحقيقي ديال Privacy Filter من OpenAI. هاد المشروع الخبيث نقل الوصف ديال الموديل الأصلي حرفيا باش يصيد المستخدمين. للمعلومة، Privacy Filter ديال OpenAI كان تطلق فـ أبريل 2026 كأداة باش تكتشف وتحذف المعلومات الشخصية (PII) فـ النصوص اللي ما مهيكلاش.

هاد الـ repository المزيف وصل للمركز الأول فـ الـ trending فـ Hugging Face بحوالي 244 ألف تحميلة و 667 جيم فـ 18 ساعة. كاين شكوك بلي هاد العدد ديال التحميلات تطلع بطريقة مصطنعة باش يعطيو انطباع بلي المشروع موثوق.

سلسلة الهجوم كتبدا ملي المستخدمين كيديرو clone لـ repository وكينفذو إما سكريبت batch (فـ Windows) أو loader ديال Python (فـ Linux/macOS). فـ أنظمة Windows، هاد الـ loader ديال Python كيحبس التحقق ديال SSL، كيفك تشفير واحد الـ URL مكوودي بـ Base64 جايبو من JSON Keeper (خدمة عامة ديال JSON)، وكيجبد واحد الكوماند ديال PowerShell باش ينفذها. هاد الكوماند كتيليشارجي سكريبت batch من "api.eth-fastscan[.]org" وكتخدمو بـ cmd.exe.

هاد السكريبت ديال الـ batch كيتعلا فـ الصلاحيات باستخدام نافذة UAC، كيآجوطي استثناءات فـ Microsoft Defender Antivirus، كيتيليشارجي ملف binary ديال المرحلة الثانية من نفس الدومين، وكيكريي scheduled task باش تنفذ سكريبت ديال PowerShell. الحاجة الخطيرة هي أن هاد الـ task كتمسح راسها مورا ما تنفذ بلا ما تخلي تا أثر — يعني كتخدم كـ launcher بـ صلاحيات SYSTEM لمرة وحدة.

فـ المرحلة اللخرة، كيخدم الـ information stealer باش يستهدف بيانات حساسة: سكرينشوتات، بيانات اعتماد (credentials) ومعلومات ديال Discord، محافظ العملات الرقمية والـ extensions ديالها، الميتاداتا ديال النظام، إعدادات FileZilla، الـ seed phrases ديال المحافظ، وبيانات الاعتماد اللي مخزنة فـ متصفحات Chromium و Gecko. هاد الـ stealer حاول يحبس Windows Antimalware Scan Interface (AMSI) و Event Tracing for Windows (ETW) باش يهرب من الاكتشاف المبني على السلوك. البيانات اللي تسرقات تصيفطات بـ صيغة JSON لـ "recargapopular[.]com".

التحليلات كشفات على 6 ديال repositories خبيثة أخرى تابعة لـ مستخدم سميتو 'anthfu' كتخدم بـ loaders ديال Python مشابهة: anthfu/Bonsai-8B-gguf، anthfu/Qwen3.6-35B-A3B-APEX-GGUF، anthfu/DeepSeek-V4-Pro، anthfu/Qwopus-GLM-18B-Merged-GGUF، anthfu/Qwen3.6-35B-A3B-Claude-4.6-Opus-Reasoning-Distilled-GGUF، و anthfu/supergemma4-26b-uncensored-gguf-v2.

بين التفحص بلي كاين تقاطع فـ البنية التحتية مع حملة أخرى: الدومين "api.eth-fastscan[.]org" تخدم من قبل باش يصيفط ملف تنفيذي ديال Windows ("o0q2l47f.exe") اللي كان كيتواصل مع "welovechinatown[.]info"، وهو سيرڤر ديال command-and-control عندو علاقة بـ باكيدج خبيث ديال npm سميتو 'trevlo'. هاد الباكيدج تنشرات نهار 4 أبريل 2026 من نشر مستخدم سميتو 'titaniumg'، وتيشارجات كثر من 2,300 مرة قبل ما يتحيد من npm. الـ postinstall hook ديالها كان كينفذ loader ديال JavaScript مأوبفيسكي كيعيط لـ كوماند ديال PowerShell مكوودية بـ base64، واللي فـ اللخر كتوصل حمولة (payload) ديال ValleyRAT (اللي معروفة تا بـ Winos 4.0). استخدام ValleyRAT منسوب حصريا لـ Silver Fox، وهي مجموعة اختراق صينية.

علاش هادشي مهم

بالنسبة لـ مطورين وفرق DevOps، هاد الحادثة كتبين ثغرة منصات التوزيع مفتوحة المصدر قدام هجمات typosquatting واختراق سلسلة التزويد. تضخيم عدد التحميلات باش يطلع المشروع فـ الـ trending كيبين بلي كاين مجهود منسق باش يوصلو لأكبر عدد ممكن من الضحايا. الاعتماد على repositories ديال نماذج كتبان شرعية كيعتبر وسيلة فعالة باش يتجاوز المهاجمين الثقة اللي عند بزاف ديال المطورين فـ المنصات المعروفة.

بالنسبة لمحللي SOC والفرق الأمنية، سلاسل الهجوم كتقدم تقنيات متعددة للتخفي: بحال تعطيل التحقق ديال SSL، محاولات تجاوز AMSI و ETW، رفع الصلاحيات عبر UAC، إعداد استثناءات فـ Defender، وفحص واش النظام كيراني فـ بيئة وهمية (VM detection). استخدام خدمات مشاركة النصوص العامة (بحال JSON Keeper) كـ dead drop resolvers كيعطي لـ المهاجمين القدرة باش يبدلو الحمولة (payload) بلا ما يحتاجو يعدلو الـ repository الأصلي الخبيث، وهاد التقنية كتعقد عملية الاكتشاف اللي كتعتمد على التوقيعات.

التقاطع فـ البنية التحتية بين حملات Hugging Face و npm كيشير لـ عملية واسعة كتستهدف سلسلة التزويد فـ الأنظمة البيئية مفتوحة المصدر. هادشي كيعني بلي فاعلي التهديد (threat actors) كيتلاعبو بشكل نظامي بـ قنوات التوزيع المتعددة، ويقدر يكونو عتابرو المنصات مفتوحة المصدر كـ أفضلية باش ياخدو access أولي.

الأنظمة المتضررة و CVEs

• Hugging Face (منصة استضافة الـ repositories)
• npm (ريجيستري ديال باكيدجات Node.js)
• أنظمة Windows (سطح الهجوم الرئيسي لـ information stealer)
• أنظمة Linux و macOS (سطح هجوم ثانوي عن طريق الـ loader ديال Python)
• التطبيقات اللي كتعتمد على الـ repositories المتضررة (Discord، متصفحات Chromium و Gecko، FileZilla، ومدراء محافظ العملات الرقمية)

ما كاين تا CVE تسجلات فـ وقت النشر ديال هاد التقرير.

شنو خاصنا نديرو

• تأكدو من صحة أي repository ديال Privacy Filter من OpenAI عن طريق القنوات الرسمية ديال OpenAI قبل ما تتيليشارجيوها أو تخدموها فـ بيئة الإنتاج (production environments).
• راجعو مصادر الـ repository وهوية الناشر قبل ما تديرو clone أو تنستاليو أي dependency من المنصات مفتوحة المصدر.
• راقبو الأنظمة واش كاين شي تنفيذ لـ سكريبتات batch أو loaders ديال Python من مصادر مامعروفاش، وبالأخص هادوك اللي كيتيليشارجيو وينفذو سكريبتات عن بعد عن طريق PowerShell.
• طبقو سياسات ديال application whitelisting باش تمنعو التنفيذ ديال السكريبتات اللي مامصرحش بيها.
• ديرو audit لـ الـ dependencies ديال باكيدجات npm باش تقلبو على الـ postinstall hooks؛ وخذو فـ الاعتبار تحبسو سكريبتات postinstall يلا ماكانتش ضرورية للعمل.
• يلا كانو الأنظمة ديجا تيليشارجاو الـ repository الخبيث من Hugging Face ولا الباكيدج trevlo ديال npm، عتابرو بلي وقع اختراق وديرو تحليل جنائي (forensic analysis) باش تقلبو على مؤشرات ديال الـ information stealer (تسريب سكرينشوتات، سرقة بيانات اعتماد من المتصفحات، وأكواد جلسات Discord).
• راجعو الـ logs ديال Microsoft Defender Antivirus و ETW واش كاين شي دليل على إعدادات ديال استثناءات أو محاولات إيقاف التشغيل.

أسئلة باقة مطروحة

• واش عدد التحميلات ديال repository فـ Hugging Face و باكيدج trevlo فـ npm طلعوه بشكل مصطنع بـ استخدام الـ automation.
• الهوية الكاملة ونطاق العمليات ديال فاعلي التهديد اللي مورا الـ repositories الخبيثة فـ Hugging Face و npm.
• واش الـ 6 repositories الخبيثة اللي تكتشفات تحت حساب 'anthfu' تحطات من طرف نفس فاعل التهديد (threat actor).
• العدد الإجمالي ديال المستخدمين اللي قدرات الأنظمة ديالهم تنفذ الحمولة (payload) ديال لـ information stealer.
• واش البرمجية الخبيثة نجحات تسرق بيانات الاعتماد من 244 ألف تحميلة بالكامل، ولا بزاف ديال التحميلات ما أداوش لتنفيذ الحمولة (payload).

Source

Fake OpenAI Privacy Filter Repo Hits #1 on Hugging Face, Draws 244K Downloads