Серед 3D-художників та студій давно стало нормою завантажувати готові сцени та моделі з маркетплейсів, щоб пришвидшити виробництво. Саме ця звичка стала мішенню для нової цілеспрямованої кіберкампанії, яку зафіксували фахівці Morphisec: зловмисники поширюють інфостілер StealC V2 через заражені .blend-файли для Blender, публікуючи їх на популярних платформах на кшталт CGTrader.
Як відбувається зараження через шкідливі .blend-файли Blender
Blender підтримує виконання Python-скриптів усередині .blend-файлів. Ця функціональність використовується для автоматизації, створення аддонів, кастомних панелей та інтеграції у пайплайни рендерингу. Ті самі механізми перетворюються на інструмент атаки, якщо у сцену вбудовано шкідливий код.
Ключова роль належить опції Auto Run — автоматичному запуску вбудованих Python-скриптів при відкритті проекту. Для художників це зручно: файл одразу підвантажує ріг, панелі з контролами, інструментальні набори. Але з точки зору кібербезпеки кожен .blend-файл із увімкненим Auto Run фактично стає виконуваним об’єктом. Багато користувачів залишають цю опцію активною, не усвідомлюючи пов’язаних ризиків.
У виявленій кампанії використовуються .blend-файли з прихованим Python-кодом. Після відкриття сцени скрипт автоматично звертається до домену, розміщеного на інфраструктурі Cloudflare Workers, звідки завантажує проміжний завантажувач. Далі ланцюжок розвивається через PowerShell-скрипт, який отримує з серверів зловмисників два ZIP-архіви з назвами ZalypaGyliveraV1 та BLENDERX.
Вміст архівів розпаковується у тимчасовий каталог %TEMP%, після чого в папці автозавантаження Windows створюються ярлики LNK для закріплення шкідливого коду в системі. Такий підхід забезпечує персистентність — інфекція зберігається після перезавантаження та активується при кожному старті ОС. На фінальному етапі розгортаються дві корисні для зловмисників навантаження: основний інфостілер StealC та додатковий Python-стілер як резервний канал ексфільтрації даних.
StealC V2: можливості інфостілера та еволюція загрози
У цій кампанії застосовується актуальна модифікація StealC V2, раніше детально описана дослідниками Zscaler. Цей тип малварі спеціалізується на таємному зборі конфіденційної інформації з інфікованих пристроїв та її передачі на сервери операторів.
За даними Morphisec, StealC V2 орієнтований на крадіжку:
• облікових даних і cookies із веббраузерів;
• інформації з локальних криптогаманців та wallet-розширень у браузері;
• збережених паролів, токенів сесій та даних автозаповнення форм;
• потенційно — токенів авторизації з месенджерів та інших застосунків.
Окрему небезпеку становить оновлений механізм обходу UAC (User Account Control), що дозволяє виконувати дії з підвищеними привілеями без помітного втручання користувача. У поєднанні з модульною архітектурою, агресивним збором даних та прихованим запуском це робить StealC V2 суттєвою загрозою і для окремих митців-фрилансерів, і для великих студій з доступом до корпоративної інфраструктури.
Низька детектованість StealC V2 та обхід захисних рішень
StealC вперше задокументували у 2023 році, однак подальші оновлення значно ускладнили його виявлення традиційними засобами. Morphisec повідомляє, що проаналізований зразок StealC V2 не детектувався жодним продуктом на платформі VirusTotal на момент дослідження. Це вказує на використання обфускації, динамічного завантаження модулів та мінімізацію підозрілої активності до моменту безпосередньої крадіжки даних.
Чому 3D-ассети потрібно сприймати як потенційно виконуваний код
Стратегічна особливість цієї кампанії — зловживання довірою до 3D-контенту. Маркетплейси на кшталт CGTrader не мають технічної можливості повноцінно аналізувати вбудований у .blend-файли Python-код перед публікацією. Візуально якісна й корисна модель може містити небезпечний скрипт, який запускається одразу після відкриття сцени.
З точки зору кібербезпеки будь-які файли зі вбудованими сценаріями — документи Office з макросами, проекти Adobe, складні CAD-моделі чи сцени Blender — потрібно розглядати як аналог виконуваних файлів. Їхня безпека напряму залежить від добросовісності автора та рівня перевірки з боку користувача або організації.
Рекомендації з кібербезпеки для Blender-користувачів та 3D-студій
1. Вимкнути Auto Run за замовчуванням. Ввімкнення автозапуску Python-скриптів має бути усвідомленим рішенням для файлів із перевірених джерел: внутрішніх проектів студії чи активів від надійних постачальників.
2. Використовувати ізольовані середовища. Завантажені з маркетплейсів .blend-файли доцільно спочатку відкривати у віртуальній машині, контейнері або на окремій робочій станції без доступу до критичних даних та внутрішніх сервісів компанії.
3. Перевіряти структуру проектів Blender. За найменших підозр варто переглядати наявність вбудованих скриптів, нетипових аддонів і зовнішніх мережевих викликів. Будь-який несподіваний вихід у мережу з боку сцени Blender — вагома причина негайно припинити роботу з файлом.
4. Обмежити використання PowerShell у корпоративному середовищі. Бажано впровадити політики, що зменшують можливість неконтрольованого запуску PowerShell-скриптів, а також застосовувати EDR-рішення з моніторингом аномальної поведінки та підозрілих ланцюжків запуску.
5. Підвищувати обізнаність креативних команд. 3D-художники, аніматори й технічні артисти мають чітко розуміти, що 3D-моделі можуть бути вектором атаки, і ставитися до них так само обережно, як до невідомих виконуваних файлів чи скриптів.
Поширення StealC V2 через Blender демонструє, що будь-який професійний інструмент із підтримкою скриптів може перетворитися на канал компрометації. Щоб зменшити ризики, варто переглянути налаштування безпеки, оновити внутрішні політики роботи з 3D-активами та запровадити практику тестування сторонніх сцен в ізольованих середовищах. Чим швидше такі підходи стануть стандартом індустрії, тим менше шансів, що звичайний .blend-файл стане точкою входу до всієї творчої та корпоративної інфраструктури.
