外网报道:
2025 年 11 月 25 日消息,黑客发起了一项持续至少六个月的攻击活动,通过劫持 Blender的 3D 文件(.blend 格式),部署 StealC V2 数据窃取恶意软件。这一活动与此前一次与讲俄语的威胁行为者相关的活动有相似之处,该活动涉及冒充电子前哨基金会(EFF),针对网络游戏社区并感染StealC和Pyramid C2。
攻击流程与关键细节
- 传播途径:黑客将植入恶意 Python 脚本(如 “Rig_Ui.py”)的恶意.blend 文件(如角色绑定文件)上传至 CGTrader 等免费 3D 资源平台,诱骗用户下载。
- 触发条件:当用户在 Blender 中开启 “自动运行Python脚本” 功能时,打开恶意文件会自动执行嵌入的 Python 脚本。Blender 官方文档已明确该功能存在安全风险 ——Python 脚本可执行任意操作。
- 恶意行为:脚本会获取 PowerShell 脚本,进而下载两个 ZIP 压缩包:一个包含 StealC V2 payload,另一个部署基于 Python 的次级窃取程序。
- 窃取范围:StealC V2(2025 年 4 月底首次披露更新版)功能强大,可从 23 款浏览器、100 个网页插件 / 扩展、15 款加密货币钱包应用,以及即时通讯工具、VPN、电子邮件客户端中提取数据。
安全提示
Morphisec 研究员建议:“除非文件源值得信赖,否则请关闭自动运行,”Morphisec 说,“攻击者利用通常运行在带GPU的物理机器上的Blender,绕过沙盒和虚拟环境。”
原文地址:https://thehackernews.com/2025/11/hackers-hijack-blender-3d-assets-to.html
