Tin tặc chiếm đoạt Blender 3D để triển khai mã độc đánh cắp dữ liệu StealC V2

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một chiến dịch mới sử dụng các tệp của Blender Foundation để cung cấp phần mềm đánh cắp thông tin có tên là StealC V2.

Nhà nghiên cứu Shmuel Uzan của Morphisec cho biết trong một báo cáo chia sẻ với The Hacker News: "Chiến dịch đang diễn ra này, đã hoạt động trong ít nhất sáu tháng, liên quan đến việc cấy các tệp.blend độc hại vào các nền tảng như CGTrader".

"Người dùng vô tình tải xuống các tệp mô hình 3D này, được thiết kế để thực thi các tập lệnh Python nhúng khi mở trong Blender -- một bộ công cụ tạo 3D mã nguồn mở miễn phí."

Công ty an ninh mạng cho biết hoạt động này có điểm tương đồng với một chiến dịch trước đó liên quan đến các tác nhân đe dọa nói tiếng Nga, trong đó có việc mạo danh Electronic Frontier Foundation (EFF) để nhắm vào cộng đồng game trực tuyến và lây nhiễm StealC và Pyramid C2 cho họ.

Đánh giá này dựa trên những điểm tương đồng về mặt chiến thuật trong cả hai chiến dịch, bao gồm sử dụng tài liệu giả, kỹ thuật lẩn tránh và thực thi phần mềm độc hại trong nền.

Nhóm tấn công mới nhất lợi dụng khả năng nhúng các tập lệnh Python vào các tệp.blend, chẳng hạn như các bộ ký tự được tự động thực thi khi mở trong các trường hợp bật tùy chọn Tự động chạy. Hành vi này có thể nguy hiểm vì nó mở đường cho việc thực thi các tập lệnh Python tùy ý.

Rủi ro bảo mật đã được Blender thừa nhận trong tài liệu riêng của mình, trong đó nêu rõ : "Khả năng đưa các tập lệnh Python vào các tệp blend rất có giá trị đối với các tác vụ nâng cao như thiết kế và tự động hóa. Tuy nhiên, nó gây ra rủi ro bảo mật vì Python không hạn chế những gì một tập lệnh có thể làm."

Chuỗi tấn công về cơ bản bao gồm việc tải các tệp.blend độc hại lên các trang web tài sản 3D miễn phí như CGTrader, chứa tập lệnh "Rig_Ui.py" độc hại, được thực thi ngay khi chúng được mở với tính năng Tự động chạy của Blender được bật. Điều này, đến lượt nó, sẽ tải xuống một tập lệnh PowerShell để tải xuống hai tệp ZIP.

Trong khi một trong các tệp ZIP chứa payload cho StealC V2, tệp nén thứ hai triển khai một trình đánh cắp dữ liệu thứ cấp dựa trên Python trên máy chủ bị xâm nhập. Phiên bản cập nhật của StealC, được công bố lần đầu vào cuối tháng 4 năm 2025, hỗ trợ nhiều tính năng thu thập thông tin, cho phép trích xuất dữ liệu từ 23 trình duyệt, 100 plugin và tiện ích mở rộng web, 15 ứng dụng ví tiền điện tử, dịch vụ nhắn tin, VPN và ứng dụng email.

Morphisec cho biết: "Hãy tắt tính năng Tự động chạy trừ khi nguồn tệp được xác thực". "Kẻ tấn công khai thác Blender, vốn thường chạy trên các máy vật lý có GPU, bỏ qua hộp cát và môi trường ảo."