Blender, celebre software open source per la creazione di contenuti 3D e da poco disponibile nella versione 5.0, è diventato recentemente il veicolo di una sofisticata campagna malevola. Ricercatori di sicurezza hanno scoperto che file .blend caricati su marketplace di modelli 3D come CGTrader contengono script Python nascosti, progettati per attivarsi automaticamente quando l’utente apre il progetto. Questa funzionalità, nota come Auto Run, è spesso abilitata dagli utenti per comodità, ma può trasformarsi in un pericoloso punto di ingresso per codice dannoso.
Il malware diffuso attraverso questi file è StealC V2, un infostealer già noto per la sua capacità di sottrarre credenziali, dati di navigazione e informazioni sensibili dai sistemi infetti. Una volta aperto il file compromesso, lo script integrato scarica un loader da un dominio Cloudflare Workers, che a sua volta esegue un comando PowerShell. Questo processo porta al recupero di archivi ZIP contenenti il payload finale, che viene estratto e avviato nella cartella temporanea del sistema.
La campagna è stata attiva per almeno sei mesi e mostra chiari legami con attori russi già coinvolti in precedenti operazioni di cyberspionaggio. L’uso di piattaforme legittime come CGTrader rende l’attacco particolarmente insidioso, poiché gli utenti scaricano i file convinti di ottenere risorse grafiche affidabili. In realtà, dietro le quinte si cela un meccanismo studiato per compromettere workstation di artisti, designer e sviluppatori.
Il problema di Blender e l’esecuzione di script automatizzati
L’aspetto più critico è che Blender, grazie alla sua natura estensibile, permette l’esecuzione di script Python per automatizzare processi complessi. Questa caratteristica, se sfruttata da cybercriminali, diventa un’arma potente. Gli script malevoli non solo avviano il caricamento del malware, ma possono anche mascherarsi dietro interfacce personalizzate con pulsanti e slider, rendendo difficile individuare anomalie. Una volta installato, StealC V2 raccoglie dati e li invia a server controllati dagli attaccanti, compromettendo la sicurezza dell’intero sistema.
Gli esperti consigliano di disabilitare l’opzione Auto Run nelle preferenze di Blender e di scaricare modelli solo da fonti verificate. Inoltre, mantenere aggiornati antivirus e sistemi operativi è fondamentale per ridurre il rischio di infezioni. La vicenda dimostra come anche strumenti creativi e apparentemente innocui possano diventare vettori di attacchi informatici mirati, sfruttando la fiducia degli utenti e la popolarità di software open source.
fonte: bleepingcomputer
