Volver a 20MINUTOS.ES

Un repositorio malicioso se hace pasar por OpenAI y arrasa en descargas antes de ser eliminado

El repositorio malicioso que se hizo pasar por OpenAI arrasa en descargas antes de ser eliminado
El repositorio malicioso que se hizo pasar por OpenAI arrasa en descargas antes de ser eliminadoGenerada con IA
Ciberseguridad
Noticia
David Hernández

Un repositorio falso de OpenAI logró miles de descargas antes de ser eliminado tras detectarse que distribuía malware para robar datos sensibles en Windows.

Un repositorio malicioso publicado en la plataforma Hugging Face se hizo pasar por un proyecto de OpenAI para distribuir un malware diseñado para robar información en ordenadores con Windows. El caso se descubrió después de que el proyecto llegara a lo más alto de las tendencias de la plataforma y sumara unas 244.000 descargas antes de ser eliminado.

Hugging Face es una plataforma donde desarrolladores e investigadores comparten herramientas de inteligencia artificial y modelos ya entrenados. Precisamente por eso, también se ha convertido en un objetivo para ataques en los que se suplantan proyectos legítimos con otros falsos.

Según investigadores de la empresa de ciberseguridad HiddenLayer, el repositorio fue detectado el 7 de mayo. Usaba un nombre muy parecido al original de OpenAI y copiaba casi todo el contenido descriptivo del proyecto real para parecer auténtico y engañar a los usuarios.

El archivo más peligroso del proyecto era uno que aparentaba ser parte de una herramienta de inteligencia artificial, pero en realidad ejecutaba acciones ocultas en el sistema. Entre ellas, descargaba instrucciones desde internet y las ejecutaba en segundo plano sin que el usuario lo viera.

Esas instrucciones terminaban instalando un programa malicioso más avanzado, capaz de desactivar protecciones del sistema y robar información del ordenador.

El malware estaba diseñado para recopilar datos sensibles como contraseñas guardadas en el navegador, cookies, sesiones abiertas, credenciales de Discord, carteras de criptomonedas, claves de acceso a servicios como SSH o VPN, y otros archivos personales. Incluso podía hacer capturas de pantalla del equipo infectado.

Toda la información robada se enviaba después a un servidor externo controlado por los atacantes. Además, el programa estaba preparado para ocultarse y evitar ser detectado, comprobando si se estaba ejecutando en máquinas virtuales o entornos de análisis.

No está claro cuántas personas resultaron afectadas, aunque los investigadores creen que muchas de las interacciones con el repositorio podrían haber sido automatizadas, lo que infló las cifras de popularidad.

Tras el descubrimiento, se encontraron otros repositorios relacionados que usaban el mismo sistema de ataque. Los expertos recomiendan a cualquier persona que lo haya descargado reinstalar el sistema, cambiar todas sus contraseñas y cerrar sesiones abiertas en sus cuentas.

Más información sobre: