PANewsは5月13日、Decryptによると、OpenAIのプライバシーフィルターを装った偽のリポジトリがHugging Faceのトレンドチャートでトップになり、削除されるまでの18時間で約24万4000回のダウンロードと667件のいいねを獲得したと報じた。セキュリティ企業のHiddenLayerは、いいねのうち657件がボットアカウントからのものであることを発見した。この悪意のあるリポジトリには、loader.pyスクリプトによるセキュリティチェックの無効化、Rustで書かれた最終ペイロードをダウンロードするためのPowerShellのサイレント実行、SYSTEM権限での実行という6段階のデータ窃盗プログラムが含まれていた。このマルウェアは、ChromeとFirefoxからパスワード、暗号化されたウォレットのニーモニックフレーズ、SSHキー、FTP認証情報、Discordトークンを盗み、スクリーンショットを攻撃者のサーバーに送信し、分析を回避するために仮想マシン環境もチェックした。HiddenLayerはまた、Qwen3、DeepSeek、Bonsaiなどのモデルを装った、同じインフラストラクチャを使用する他の6つの悪意のあるリポジトリも発見した。