Security firm HiddenLayer ने मंगलवार को रिपोर्ट किया कि Hugging Face पर एक malicious package — "Open-OSS/privacy-filter" — ने OpenAI के legitimate Privacy Filter project के README को clone करके लगभग 244,000 downloads और 667 likes accumulate किए हैं। Package एक `loader.py` ship कर रहा था जो PowerShell commands run करता था Rust-based infostealer fetch करने के लिए, Windows hosts पर browsers, Discord sessions, cryptocurrency wallets, और system information को target करते हुए। Hugging Face ने रिपोर्ट के बाद repo हटा दिया। HiddenLayer नोट करता है कि download count "attackers द्वारा artificially inflated किया गया हो सकता है model को ज्यादा popular दिखाने के लिए," लेकिन package फिर भी 18 घंटों से कम में top trending status पर पहुँच गया। जिसने भी actually `loader.py` execute किया उसे अपने system को compromised treat करने की सलाह दी गई है।
Attack vector नया नहीं था — यह वही shape है जिसे AI marketplace security researchers दो साल से flag कर रहे हैं: typosquatted namespace, cloned README, malicious loader code एक Python file में छिपा जो वो model weights नहीं है जिसके लिए लोग download कर रहे हैं। Specifically, `loader.py` SSL verification disable करता था, base64 में एक URL decode करता था, batch files download करता था, और Microsoft Edge updates के रूप में मस्क्रेड करने वाले scheduled tasks के माध्यम से persistence establish करता था। Rust infostealer payload contemporary commodity-malware shape है — browser cookies, Discord tokens, crypto wallet `.dat` files, system fingerprints — दर्जनों distinct campaigns में बेचा और reuse किया गया। HiddenLayer ने इसे report किया; Hugging Face की response report-के-बाद-takedown थी, trending-से-पहले-detection नहीं। 244,000 downloads count वह हिस्सा है जिस पर हर किसी को pause करना चाहिए: अगर half bot inflation भी है, यह अभी भी दसियों हजार likely-real machines हैं जिन्होंने package pull किया।
Hugging Face 2022 से open-source AI models के लिए de-facto distribution point रहा है, marketplace shape के साथ — public repos, anonymous-friendly publishing, namespace squatting permitted, README cloning undetected — जिसे npm, PyPI और Docker Hub पिछले दशक में harden करने की कोशिश कर रहे हैं। Academic work द्वारा इन issues को पहली बार flag करने (Hugging Face pickle vulnerabilities पर 2024 के papers) के दो साल बाद और बीच में कई छोटे incidents के बाद, marketplace अभी भी uploads पर automatic README-similarity detection, automatic namespace-impersonation checks, या human review तक trending status पर holdback periods नहीं चलाता। Open-OSS/privacy-filter case पहला है जिसके download numbers conversation force करने के लिए काफी जोरदार हैं। HiddenLayer/Manifold-style market for ML-supply-chain security products को इसके पीछे grow होते देखें — Manifold का Manifest MCP-server scoring product (इस हफ्ते अलग से announced) MCP servers पर applied same shape है; दोनों same market gap पढ़ रहे हैं।
अगर आपने हाल ही में Hugging Face से "privacy-filter" model install किया है — विशेष रूप से किसी "Open-OSS" namespace से — file list में PowerShell plus base64-encoded URLs containing एक `loader.py` के लिए check करें, और अगर मिले, host को compromised treat करें: Discord tokens, browser-saved credentials, crypto wallet keys, और disk पर cached कुछ भी rotate करें। व्यापक रूप से, production में Hugging Face use करने वालों के लिए सबक: namespace-pinning वह से ज्यादा काम कर रहा है जितना लोगों ने realize किया, और "popular" security signal नहीं है — cloned README और malicious loader के साथ 18 घंटों में top-trending threat shape है, aberration नहीं। देखें कि क्या HF अगले quarter में namespace-impersonation detection और review-before-trending controls ship करता है; अगर नहीं, third-party scanners (HiddenLayer, Manifold, और उनके पीछे की wave) के लिए market dao है।