OpenAI hatte Privacy Filter im April 2026 vorgestellt, um personenbezogene Daten (PII) in unstrukturiertem Text zu erkennen und zu schwärzen und so stärkere Datenschutz- und Sicherheitsmechanismen in Anwendungen einzubauen. Genau diese Reputation nutzten die Angreifer aus.
Das schädliche Projekt fordert Nutzer auf, das Repository zu klonen und ein Batch-Skript („start.bat") unter Windows beziehungsweise ein Python-Skript („loader.py") unter Linux oder macOS auszuführen, um angeblich alle nötigen Abhängigkeiten einzurichten und das Modell zu starten. Beim Start löst das Python-Skript Schadcode aus, der die SSL-Prüfung deaktiviert, eine Base64-kodierte URL beim öffentlichen Dienst JSON Keeper dekodiert und daraus einen Befehl für die Ausführung über PowerShell extrahiert. Durch den Einsatz von JSON Keeper als sogenannter Dead-Drop-Resolver können die Angreifer die Schadlast jederzeit austauschen, ohne das Repository selbst anzufassen.
Der PowerShell-Befehl lädt ein Batch-Skript von einem entfernten Server („api.eth-fastscan[.]org") herunter und startet es über „cmd.exe". Dieses Skript dient als Downloader der zweiten Stufe: Es erhöht über eine Abfrage der Benutzerkontensteuerung (UAC) seine Rechte, richtet Ausnahmen im Microsoft Defender Antivirus ein, lädt die nächste Binärdatei von derselben Domain und legt eine geplante Aufgabe an, die ein PowerShell-Skript zum Starten der ausführbaren Datei aufruft.
Nach dem Start der geplanten Aufgabe wartet die Malware zwei Sekunden und löscht sich dann selbst. Laut HiddenLayer richtet diese Stufe trotz der geplanten Aufgabe keine dauerhafte Verankerung ein – die Aufgabe werde vor jedem Neustart wieder zerstört und diene lediglich als einmaliger Starter im SYSTEM-Kontext.
Die finale Stufe ist ein Informationsdieb, der Bildschirmfotos anfertigt und Daten aus Discord, Kryptowährungs-Wallets und -Erweiterungen, Systeminformationen, Dateien wie FileZilla-Konfigurationen und Wallet-Seed-Phrasen sowie aus Browsern auf Basis der Rendering-Engines Chromium und Gecko abgreift. Zudem prüft der Stealer auf Debugger und Sandboxes, vergewissert sich, dass er nicht in einer virtuellen Maschine läuft, und versucht, AMSI (Antimalware Scan Interface) und ETW (Event Tracing for Windows) zu deaktivieren, um der verhaltensbasierten Erkennung zu entgehen. Die gestohlenen Daten werden im JSON-Format an die Domain „recargapopular[.]com" ausgeleitet.
Bei der weiteren Analyse stieß HiddenLayer auf sechs weitere Repositories mit einem ähnlichen Python-Loader zur Verbreitung des Stealers. Außerdem beobachteten die Forscher, dass die Domain „api[.]eth-fastscan[.]org" eine andere Windows-Datei („o0q2l47f.exe") auslieferte, die sich bei „welovechinatown[.]info" meldet – einem C2-Server, der zuvor in einer Kampagne mit dem schädlichen npm-Paket „trevlo" zur Verbreitung von ValleyRAT (auch Winos 4.0) genutzt wurde.
Wie der Anbieter Panther kürzlich beschrieb, führt der Postinstall-Hook des Pakets unbemerkt einen verschleierten JavaScript-Loader aus, der einen Base64-kodierten PowerShell-Befehl startet, welcher wiederum ein Skript der zweiten Stufe von der Infrastruktur der Angreifer nachlädt und eine Winos-4.0-Stager-Binärdatei („CodeRun102.exe") mit umfassender Tarnung ausführt – inklusive versteckter Fensterausführung, Entfernung des Zone-Identifiers und Prozessabkopplung.
Bemerkenswert ist der Fall, weil er einen neuen Erstzugangsweg für ValleyRAT darstellt – einen modularen Fernzugriffstrojaner, der sonst über Phishing-Mails und manipulierte Suchmaschinenergebnisse (SEO-Poisoning) verteilt wird. Der Einsatz von ValleyRAT wird ausschließlich der chinesischen Hackergruppe Silver Fox zugeschrieben. Die gemeinsam genutzte Infrastruktur deute laut HiddenLayer darauf hin, dass die Kampagnen möglicherweise zusammenhängen und Teil einer größeren Lieferketten-Operation gegen Open-Source-Ökosysteme sind.