一位網路安全研究人員發現了一項新的攻擊活動,該活動濫用 Blender 基金會文件來傳播 StealC V2 資訊竊取惡意軟體。
據 Morphisec 研究員 Shmuel Uzan 稱,該活動已持續至少六個月,在 CGTrader 等平台上植入惡意 .blend 檔案。
當使用者在 Blender(一款免費的開源 3D 創建軟體)中開啟這些檔案時,嵌入的 Python 腳本就會執行。
攻擊者在 .blend 檔案中嵌入了一個名為「Rig_Ui.py」的惡意腳本,當啟用 Blender 的自動執行功能並開啟該檔案時,該腳本會自動執行。
這會擷取一個 PowerShell 腳本並下載兩個 ZIP 壓縮包。 StealC V2 於 2025 年 4 月下旬發布,可從 23 個瀏覽器、100 個 Web 外掛程式和擴充功能、15 個加密貨幣錢包應用程式、即時通訊服務、VPN 和電子郵件用戶端中竊取資料。
從: 
駭客劫持 Blender 3D 資源,部署 StealC V2 資料竊取惡意軟體
【社論】
這次攻擊表明,我們正在進入一個創意工俱生態系統本身也成為攻擊目標的時代。 Blender是一款免費且功能強大的 3D 製作工具,深受全球創作者的喜愛,但其支援擴充功能的 Python 腳本自動執行功能卻被攻擊者利用,成為攻擊的入口點。
尤其值得注意的是,攻擊者使用了像 CGTrader 這樣的合法資源分發平台,這些平台對於尋找 3D 模型和角色綁定的創作者來說很常見,而惡意文件被隱藏在這些平台上,這與傳統的網絡釣魚電子郵件或下載網站相比,構成了一種不同的威脅。
該惡意軟體的技術複雜性也值得注意。當啟用 Blender 的自動執行功能開啟該檔案時,會執行一個名為 Rig_Ui.py 的看似合法的綁定腳本。但這只是多階段感染鏈的開始,該感染鏈隨後會透過 PowerShell 腳本下載兩個 ZIP 壓縮包,分別提取 StealC V2 本身和一個配套的 Python 竊取程式。此外,該惡意軟體還會將一個 LNK 檔案複製到啟動資料夾,從而實現持久化。
StealC V2 的演變本身也加劇了這種威脅。這個於 2025 年 4 月發布的最新版本可以從超過 23 種瀏覽器(包括 Chrome 132 及以上版本)、100 多個網路擴充功能和 15 個加密貨幣錢包應用程式中提取資料。其廣泛的資訊收集能力,包括針對即時通訊應用、VPN 甚至電子郵件用戶端,將個人的整個數位生活置於危險之中。
根據 Morphisec 的研究,這次攻擊活動已持續至少六個月,可能與講俄語的威脅行為者有關。此外,它與先前針對線上遊戲社群、聲稱來自電子前沿基金會 (EFF) 的攻擊在戰術上存在相似之處。
這次事件引發了一個對創作工具使用者至關重要的問題:如何評估啟用自動執行功能的風險,即使是來自可信任來源的文件?正如Blender官方文件所承認的,只要Python腳本執行沒有限制,使用者就必須自行權衡便利性和安全性。
作為應對措施,建議停用 Blender 的自動運作功能,除非檔案來自可信任來源。此外,值得注意的是,攻擊者的目標是運行在配備 GPU 的實體機器上的 Blender,從而繞過沙箱和虛擬環境。 VirusTotal 上的偵測率也極低,因此僅靠傳統的防毒軟體難以防禦此類攻擊。
[術語]
StealC V2
一種資訊竊取惡意軟體(資訊竊取程式),其最新版本於 2025 年 4 月發布。它能夠從瀏覽器、加密貨幣錢包、即時通訊應用程式、VPN、電子郵件用戶端等竊取身份驗證資訊和個人資料。
.blend 文件
Blender 3D 專案檔案副檔名可以包含 3D 模型、動畫、紋理和 Python 腳本。
自動運行功能
此功能會在 Blender 中開啟 .blend 檔案時自動執行嵌入其中的 Python 腳本。這對於諸如骨骼綁定和自動化等高級任務非常有用,但也存在安全風險。
索具
這是在3D模型上設定骨架(骨骼)使其能夠移動的過程。它是角色動畫製作中必不可少的步驟。
資訊竊取者
惡意軟體的統稱,指旨在從電腦竊取機密資訊的惡意軟體,主要目標是身分驗證資訊、信用卡號和加密貨幣錢包的私鑰。
PowerShell
Windows 自帶的命令列 shell 和腳本語言。它用於自動化系統管理任務,但也經常被攻擊者濫用。
[參考連結]
Blender 官方網站(外部連結)
一款免費開源的 3D 製作套件,提供包括建模、動畫、渲染和影片編輯在內的多種功能。
CGTrader (外部)
一個可以買賣3D模型和數位資產的交易平台。使用者涵蓋各類創作者,從專業人士到業餘愛好者。
Morphisec (外部)
提供終端安全解決方案的網路安全公司。其防禦方法的特點是採用動態目標防禦技術。
Blender官方文件 – 腳本編寫與安全(外部)
官方文件解釋了 Blender 中腳本執行的安全風險以及如何配置自動運行功能。
[參考文章]
Morphisec挫敗了與俄羅斯有關的StealC V2攻擊活動,該活動透過惡意.blend檔案攻擊Blender用戶(外部連結)
Morphisec 的詳細技術報告詳細介紹了具體的攻擊方法、感染鏈、StealC V2 的功能以及入侵指標 (IoC)。
Morphisec 警告:StealC V2 惡意軟體透過惡意 Blender 檔案傳播(外部連結)
安全事務報告了向 CGTrader 上傳惡意檔案的方法以及多階段感染過程。
與俄羅斯有關的惡意軟體活動隱藏在 Blender 3D 檔案中(外部連結)
《資訊安全雜誌》報導了與俄羅斯有關的威脅行為者的攻擊活動及其對 Blender 用戶社群的影響。
[編者註]
雖然數位創作者的工作環境日益便利,但也伴隨著意想不到的風險。您如何看待日常工具和資源可能成為網路攻擊的觸發因素?
如果讓你重新思考自己的創作流程,你會從哪裡開始?我想從技術和安全兩個角度與你一起展望未來,讓你能夠安心地從事創作活動。
