La firme de sécurité HiddenLayer a rapporté mardi qu'un paquet malveillant sur Hugging Face — « Open-OSS/privacy-filter » — avait accumulé environ 244 000 téléchargements et 667 likes en clonant le README du projet légitime OpenAI Privacy Filter. Le paquet livrait un `loader.py` qui exécutait des commandes PowerShell pour aller chercher un infostealer Rust ciblant navigateurs, sessions Discord, portefeuilles crypto et informations système sur des hôtes Windows. Hugging Face a retiré le repo après le rapport. HiddenLayer note que le compte de téléchargements « peut avoir été artificiellement gonflé par les attaquants pour rendre le modèle plus populaire », mais le paquet a quand même atteint le statut top trending en moins de 18 heures. Quiconque a réellement exécuté `loader.py` est averti de traiter son système comme compromis.

Le vecteur d'attaque n'était pas nouveau — c'est la même forme que les chercheurs en sécurité des marketplaces IA signalent depuis deux ans : namespace typosquaté, README cloné, code loader malveillant caché dans un fichier Python qui n'est pas les poids du modèle pour lesquels les gens téléchargent. Spécifiquement, `loader.py` désactivait la vérification SSL, décodait en base64 une URL, téléchargeait des fichiers batch, et établissait la persistance via des tâches planifiées se faisant passer pour des mises à jour Microsoft Edge. Le payload infostealer Rust est la forme commodity-malware contemporaine — cookies de navigateur, tokens Discord, fichiers `.dat` de portefeuille crypto, empreintes système — vendu et réutilisé à travers des dizaines de campagnes distinctes. HiddenLayer l'a rapporté ; la réponse d'Hugging Face fut takedown-après-rapport, pas détection-avant-trending. Le compte de 244 000 téléchargements est la partie sur laquelle tout le monde devrait s'arrêter : même si la moitié est gonflage par bots, c'est encore des dizaines de milliers de machines vraisemblablement réelles qui ont tiré le paquet.

Hugging Face est le point de distribution de facto pour les modèles IA open-source depuis 2022, avec la forme marketplace — repos publics, publication friendly aux anonymes, namespace squatting permis, clonage de README non détecté — que npm, PyPI et Docker Hub ont passé la dernière décennie à durcir. Deux ans après que des travaux académiques ont d'abord signalé ces problèmes (les papiers 2024 sur les vulnérabilités pickle de Hugging Face) et après plusieurs incidents plus petits dans l'intervalle, la marketplace ne fait toujours pas tourner de détection automatique de similarité de README sur les uploads, pas de vérifications automatiques d'usurpation de namespace, pas de périodes d'attente sur le statut trending jusqu'à revue humaine. Le cas Open-OSS/privacy-filter est le premier avec des chiffres de téléchargement assez forts pour forcer la conversation. Attendez-vous à un marché type HiddenLayer/Manifold pour les produits de sécurité supply-chain ML à croître sur le dos de ça — le produit Manifest MCP-server scoring de Manifold (annoncé séparément cette semaine) est la même forme appliquée aux serveurs MCP ; les deux lisent le même gap de marché.

Si vous avez installé un modèle « privacy-filter » d'Hugging Face récemment — surtout depuis un namespace « Open-OSS » — vérifiez la liste de fichiers pour un `loader.py` contenant PowerShell plus URLs encodées en base64, et si trouvé, traitez l'hôte comme compromis : rotation des tokens Discord, identifiants sauvegardés du navigateur, clés de portefeuille crypto, et tout ce qui est mis en cache sur disque. Plus largement, la leçon pour quiconque utilise Hugging Face en production : namespace-pinning fait plus de travail que les gens ne le réalisaient, et « populaire » n'est pas un signal de sécurité — top-trending en moins de 18 heures avec README cloné et loader malveillant est une forme de menace, pas une aberration. Surveillez si HF livre la détection d'usurpation de namespace et les contrôles revue-avant-trending au prochain trimestre ; sinon, le marché pour scanners tiers (HiddenLayer, Manifold, et la vague derrière eux) est le pari.