Campagne malware contro i siti di modelli 3D tramite Blender
Una serie di campagne malware collegate a gruppi di lingua russa sfrutta file Blender compromessi caricati su marketplace di modelli 3D come CGTrader per distribuire il trojan StealC V2. I file .blend, apparentemente normali asset 3D, contengono script Python nascosti che, se aperti con l’opzione Auto Run attiva in Blender, avviano una catena di infezione multi‑stadio senza alcuna interazione aggiuntiva dell’utente.
Tecnica di attacco: Python nascosto nei file .blend e catena multi‑stadio
Le analisi di diversi ricercatori descrivono un meccanismo d’attacco che parte da uno script Python incorporato nel progetto Blender. Quando il progetto viene aperto, lo script contatta un dominio remoto, scarica un loader che a sua volta esegue PowerShell e recupera ulteriori payload compressi in archivi ZIP contenenti componenti scritti in Python.
Capacità di StealC V2 e obiettivi delle campagne
StealC V2 è un infostealer in grado di raccogliere credenziali e dati sensibili da numerosi browser, estensioni, wallet di criptovalute e applicazioni di messaggistica, VPN e posta elettronica. L’uso di asset 3D gratuiti come veicolo d’infezione punta a colpire artisti, designer, studi grafici e realtà legate alla stampa 3D e al game development, sfruttando la fiducia nelle piattaforme di modelli e la comodità dell’esecuzione automatica degli script in Blender.
Contesto: sicurezza dei file 3D, marketplace e stampa 3D
Il caso si inserisce in un quadro più ampio in cui i file 3D sono al centro sia di problematiche di sicurezza informatica sia di tutela dei diritti d’autore. Nel mondo della stampa 3D si discute da anni del rischio di furto, manipolazione o uso improprio di file CAD e modelli, con soluzioni orientate alla crittografia dei file e iniziative di piattaforme di modelli che sperimentano programmi di protezione per i creator contro upload non autorizzati e re‑upload su marketplace concorrenti.
Buone pratiche per utenti Blender e designer di modelli 3D
I ricercatori raccomandano almeno tre misure immediate: disattivare l’opzione “Auto Run Python Scripts” in Blender per i file provenienti da fonti non verificate, usare soluzioni di sicurezza capaci di analizzare script e comportamento, e limitare l’uso di asset scaricati a marketplace e autori di comprovata affidabilità. In ambienti in cui i file 3D sono collegati a processi di stampa 3D industriale o prototipazione di prodotti sensibili, vanno inoltre considerati segmentazione di rete, crittografia dei file di progetto e procedure di verifica interna prima che asset esterni entrino nelle pipeline produttive.
