The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака на пользователей Blender через вредоносные файлы с 3D-моделями

26.11.2025 11:06

Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.

Атака прежде всего нацелена на пользователей, включающих в настройках опцию автоматического запуска скриптов из blend-файлов. Автоматический запуск по умолчанию запрещён, но пользователь может не задумываясь подтвердить запуск в диалоге с предупреждением или изменить настройки по умолчанию, если его раздражает необходимость постоянного ручного подтверждения операции. Вредоносные blend-файлы могли не вызвать подозрений, так как в них поставлялись востребованные рабочие модели, например, 3D-модели скафандров, а предлагаемый для запуска Python-скрипт Rig_Ui.py включал известную реализацию системы автоматического риггинга.

В выявленных исследователями blend-файлах в исходный легитимный вариант Rig_Ui.py были внесены изменения для загрузки и запуска вредоносного ПО StealC V2. Для запутывания следов загрузка вредоносного ПО производилсь с использованием промежуточного сайта blenderxnew.tohocaper1979.workers.dev, работающего через платформу Cloudflare Workers. Обнаруженные на системе конфиденциальные данные отправлялись в зашифрованном виде. Вредоносное ПО ограничено атакой на пользователей Windows.

После активации StealC V2 оставался в системе и осуществлял перехват, поиск и отправку конфиденциальных данных, таких как токены доступа, ключи шифрования и пароли. Поддерживалось извлечение конфиденциальных данных из 15 криптокошельков, более 100 браузерных дополнений для работы с криптовалютами и платёжными системами, 23 браузеров (Chromium, Firefox, Opera, Brave и т.д.), а также различных мессенджеров (Telegram, Discord, Tox, Pidgin), VPN (ProtonVPN, OpenVPN) и почтовых клиентов (Thunderbird).



  1. Главная ссылка к новости (https://www.morphisec.com/blog...)
  2. OpenNews: Сайт Blender отключён из-за попытки взлома
  3. OpenNews: Позиция Blender по поводу свободного характера проекта и платных GPL-дополнений
  4. OpenNews: Обнаружено вредоносное ПО, использующее игровой движок Godot как платформу для запуска
  5. OpenNews: Распространение вредоносных файлов через рекламу GIMP в Google
  6. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64325-blender
Ключевые слова: blender, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (3) RSS
  • 1, Аноним (1), 11:53, 26/11/2025 [ответить]  
    		• +1 +/
    Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет.
    Очередные смузихлёбы догадались скрипты в документ запихать. История их ничему не научила.
     
  • 2, Аноним (2), 11:55, 26/11/2025 [ответить]  
    		• +/
    Вывод: Не запускаем чужие .blend файлы ; не включаем автоматическое исполение .py файлов ; живём в песочнице. xD
     
  • 3, Аноним (3), 11:57, 26/11/2025 [ответить]  
    		• +/
    Сейчас наверное в любой большой программе можно запустить мини-Linux с OpenSSH сервером на борту прокинутым через туннель
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру