Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới đã lợi dụng các tệp tin của Blender Foundation để phân phối một phần mềm đánh cắp thông tin được gọi là StealC V2.
"Chiến dịch đang diễn ra này, hoạt động ít nhất sáu tháng, liên quan đến việc cấy các tệp .blend độc hại trên các nền tảng như CGTrader", nhà nghiên cứu Shmuel Uzan của Morphisec cho biết trong một báo cáo chia sẻ với The Hacker News.
"Người dùng vô tình tải xuống các tệp mô hình 3D này, được thiết kế để thực thi các script Python được nhúng khi mở trong Blender – một bộ công cụ tạo 3D miễn phí, mã nguồn mở."
Công ty an ninh mạng này cho biết hoạt động này có nhiều điểm tương đồng với một chiến dịch trước đó liên quan đến các tác nhân đe dọa nói tiếng Nga, bao gồm việc mạo danh Electronic Frontier Foundation (EFF) để nhắm mục tiêu vào cộng đồng game thủ trực tuyến và lây nhiễm cho họ bằng StealC và Pyramid C2.
Đánh giá này dựa trên sự tương đồng về chiến thuật trong cả hai chiến dịch, bao gồm việc sử dụng tài liệu mồi nhử, kỹ thuật né tránh và thực thi phần mềm độc hại ẩn trong nền.
Các cuộc tấn công mới nhất lợi dụng khả năng nhúng các script Python vào các tệp .blend như các công cụ điều khiển nhân vật, chúng sẽ tự động thực thi khi được mở trong các trường hợp tùy chọn Auto Run được bật. Hành vi này có thể nguy hiểm vì nó mở ra cánh cửa cho việc thực thi các script Python tùy ý.
Nguy cơ bảo mật này đã được Blender thừa nhận trong tài liệu của mình, trong đó nêu rõ: "Khả năng bao gồm các script Python trong các tệp .blend rất có giá trị cho các tác vụ nâng cao như rigging và tự động hóa. Tuy nhiên, nó đặt ra một rủi ro bảo mật vì Python không hạn chế những gì một script có thể làm."
Chi tiết chuỗi tấn công
Các chuỗi tấn công về cơ bản liên quan đến việc tải lên các tệp .blend độc hại lên các trang web tài sản 3D miễn phí như CGTrader, chứa một script độc hại "Rig_Ui.py", script này được thực thi ngay sau khi chúng được mở với tính năng Auto Run của Blender được bật. Điều này, đến lượt nó, lấy về một script PowerShell để tải xuống hai kho lưu trữ ZIP.
Trong khi một trong các tệp ZIP chứa payload cho StealC V2, kho lưu trữ thứ hai triển khai một stealer thứ cấp dựa trên Python trên máy chủ bị xâm nhập. Phiên bản cập nhật của StealC, lần đầu tiên được công bố vào cuối tháng 4 năm 2025, hỗ trợ nhiều tính năng thu thập thông tin, cho phép trích xuất dữ liệu từ 23 trình duyệt, 100 plugin và tiện ích mở rộng web, 15 ứng dụng ví tiền điện tử, dịch vụ nhắn tin, VPN và ứng dụng email.
"Hãy giữ tùy chọn Auto Run bị vô hiệu hóa trừ khi nguồn tệp được tin cậy", Morphisec khuyến nghị. "Những kẻ tấn công khai thác Blender thường chạy trên các máy vật lý với GPU, bỏ qua các sandbox và môi trường ảo."
