La firma de seguridad HiddenLayer reportó el martes que un paquete malicioso en Hugging Face — "Open-OSS/privacy-filter" — había acumulado aproximadamente 244.000 descargas y 667 likes clonando el README del proyecto legítimo OpenAI Privacy Filter. El paquete entregaba un `loader.py` que ejecutaba comandos PowerShell para buscar un infostealer basado en Rust apuntando a navegadores, sesiones de Discord, wallets de criptomonedas e información del sistema en hosts Windows. Hugging Face removió el repo después del reporte. HiddenLayer nota que el conteo de descargas "puede haber sido artificialmente inflado por los atacantes para hacer al modelo parecer más popular", pero el paquete aun así alcanzó el estado top trending en menos de 18 horas. A cualquiera que efectivamente ejecutó `loader.py` se le aconseja tratar su sistema como comprometido.
El vector de ataque no era novedoso — es la misma forma que los investigadores de seguridad de marketplaces de IA han estado señalando durante dos años: namespace typosquatted, README clonado, código loader malicioso oculto en un archivo Python que no es los pesos del modelo por los que la gente descarga. Específicamente, `loader.py` deshabilitaba la verificación SSL, decodificaba en base64 una URL, descargaba archivos batch, y establecía persistencia vía tareas programadas haciéndose pasar por actualizaciones de Microsoft Edge. El payload infostealer Rust es la forma malware-commodity contemporánea — cookies de navegador, tokens Discord, archivos `.dat` de wallet cripto, huellas digitales del sistema — vendido y reutilizado a través de docenas de campañas distintas. HiddenLayer lo reportó; la respuesta de Hugging Face fue takedown-después-de-reporte, no detección-antes-de-trending. El conteo de 244.000 descargas es la parte en la que todos deberían pausar: incluso si la mitad es inflación por bots, eso es aún decenas de miles de máquinas probablemente reales que tiraron el paquete.
Hugging Face ha sido el punto de distribución de facto para modelos de IA open-source desde 2022, con la forma de marketplace — repos públicos, publicación amigable a anónimos, namespace squatting permitido, clonación de README sin detectar — que npm, PyPI y Docker Hub han pasado la última década intentando endurecer. Dos años después de que trabajo académico primero señalara estos problemas (los papers de 2024 sobre vulnerabilidades pickle de Hugging Face) y después de varios incidentes menores en el ínterin, el marketplace todavía no ejecuta detección automática de similitud de README en uploads, verificaciones automáticas de suplantación de namespace, ni periodos de espera en el estado trending hasta revisión humana. El caso Open-OSS/privacy-filter es el primero con cifras de descarga lo suficientemente fuertes para forzar la conversación. Esperen un mercado estilo HiddenLayer/Manifold para productos de seguridad de cadena-de-suministro ML crecer a la espalda de eso — el producto Manifest MCP-server scoring de Manifold (anunciado separadamente esta semana) es la misma forma aplicada a servidores MCP; ambos están leyendo el mismo gap de mercado.
Si has instalado un modelo "privacy-filter" de Hugging Face recientemente — especialmente de cualquier namespace "Open-OSS" — revisa la lista de archivos por un `loader.py` conteniendo PowerShell más URLs codificadas en base64, y si se encuentra, trata el host como comprometido: rota tokens de Discord, credenciales guardadas del navegador, llaves de wallet cripto, y cualquier cosa cacheada en disco. Más ampliamente, la lección para cualquiera usando Hugging Face en producción: el namespace-pinning está haciendo más trabajo del que la gente se daba cuenta, y "popular" no es una señal de seguridad — top-trending en menos de 18 horas con README clonado y loader malicioso es una forma de amenaza, no una aberración. Vigilen si HF entrega detección de suplantación de namespace y controles de revisión-antes-de-trending durante el próximo trimestre; si no, el mercado para escáneres de terceros (HiddenLayer, Manifold, y la ola detrás de ellos) es la apuesta.