A Blender és a veszélyforrás
A Blender, mint nyílt forráskódú 3D-szerkesztő, lehetővé teszi a Python-szkriptek futtatását automatizálásra és testreszabásra. Sok felhasználó kényelmi szempontból engedélyezi az automatikus szkriptfuttatást, ami könnyű célponttá teszi őket. A támadók ezt kihasználva olyan .blend fájlokat terjesztenek, amelyek rejtetten kapcsolódnak egy Cloudflare Workers-ön futó domainhez, ahonnan letöltik az első fertőző komponenst.
Bonyolult támadási lánc
A támadási folyamat során PowerShell-szkriptek két ZIP-archívumot töltenek le — ZalypaGyliveraV1 és BLENDERX — támadók által irányított IP-címekről. Ezek végül a %TEMP% mappában csomagolódnak ki, majd kitartás céljából LNK-fájlokat helyeznek el a Startup mappában. Ezután két kártevő terjed: a fejlett StealC adatlopó és egy tartalék, szintén Python-alapú adatlopó.
Széles körű adatlopás, szinte észrevétlenül
A StealC friss változata immár 23 böngészőből (pl. Chrome 132+), több mint 100 kriptotárca-bővítményből és 15 alkalmazásból, valamint kommunikációs alkalmazásokból (Telegram, Discord), VPN-kliensektől és e-mailprogramoktól is képes adatokat lopni. Az antivírusok alig ismerik fel: a kutatók szerint a vizsgált minta még mindig rejtve marad a víruskeresők előtt.
Védekezés a Blender-fájlok veszélyei ellen
A 3D-modelleket tartalmazó piacterek nem tudják ellenőrizni a bennük lévő kódot, ezért mindig óvatosnak kell lenni az internetről letöltött Blender-fájlokkal. Az automatikus Python-futtatást ajánlott letiltani a szerkesztő beállításaiban. Ideális esetben csak megbízható forrásból származó 3D-modelleket érdemes használni, minden más esetben pedig zárt, elszigetelt tesztkörnyezetben célszerű megnyitni a fájlokat.
