Panorama e descoberta
Pesquisadores da Morphisec, reportados pelo Cyber Security News, identificaram uma campanha que injeta scripts maliciosos em arquivos da Blender Foundation hospedados em marketplaces como o CGTrader. A operação está ativa há pelo menos seis meses e foi ligada diretamente ao infostealer conhecido como StealC V2, que ganhou tração no mercado clandestino desde sua aparição em abril de 2025.
Abordagem técnica e cadeia de infecção
Segundo a análise disponível, os arquivos .blend maliciosos contêm um script — identificado como Rig_Ui.py — que é executado automaticamente quando o usuário abre o arquivo com a configuração Auto Run Python Scripts do Blender habilitada. O script malicioso baixa um loader em PowerShell de servidores controlados pelos atacantes.
O loader, por sua vez, recupera múltiplos arquivos de arquivo que extraem um ambiente Python completo pré-carregado com o StealC V2 e componentes adicionais de roubo de informação. A campanha cria atalhos ocultos (arquivos LNK) copiados para a pasta Startup do Windows para garantir persistência após reinicializações.
Os pacotes baixados são entregues com múltiplas camadas de ofuscação e comunicação cifrada. A pesquisa cita o uso de ChaCha20 para cifrar cargas úteis e a infraestrutura de comando e controle denominada “Pyramid”, dificultando análise e detecção.
Alvo e capacidades do malware
StealC V2 tem um escopo amplo de coleta: a pesquisa relata capacidades para extrair credenciais e dados de mais de 23 navegadores, mais de 100 extensões, 15 carteiras de criptomoedas desktop, além de clientes de mensagens como Telegram e Discord e de VPNs. A amostra também incorpora técnicas atualizadas de elevação de privilégios e mantém baixas taxas de detecção em plataformas públicas de análise.
Impacto no setor criativo e vetores de risco
A técnica explora a cadeia de confiança das plataformas de distribuição de ativos 3D e a conveniência do recurso Auto Run do Blender. Como as ferramentas e assets são amplamente usadas por profissionais e hobbyistas em Windows, macOS e Linux, a operação representa risco direto à cadeia de produção de conteúdo digital, a ativos digitais sensíveis e às credenciais presentes nas máquinas de trabalho.
O que as fontes publicam — e o que falta
As informações disponíveis detalham o fluxo de infecção, as técnicas de ofuscação e os alvos do StealC V2. As fontes não apresentam indicadores de compromisso extensivos (IPs, hashes) na íntegra no texto disponível pelo RSS, nem oferecem uma lista consolidada de fornecedores afetados. Também não há, nas matérias consultadas, atribuição clara de autoria por actor-state ou gangue específico — apenas conexões técnicas reportadas pela Morphisec.
Mitigações observadas
As recomendações publicadas pela equipe de pesquisa incluem desabilitar o Auto Run Python Scripts do Blender para arquivos de origem não confiável e cautela ao baixar modelos de plataformas comunitárias. Além disso, a campanha reforça a necessidade de controles clássicos: monitoração de processos/execuções anômalas, filtragem de downloads em portais de assets e validação de integridade de pacotes Python e executáveis residuais.
Contexto e próximos passos
O uso de formatos de arquivo legítimos como vetor de infecção não é novo, mas esta operação demonstra adaptação das famílias de malware a nichos específicos (comunidade 3D). Organizações e profissionais que dependem de pipelines de arte digital devem revisar políticas de ingestão de assets externos, implementar detecção baseada em comportamento e aplicar controles de isolamento para estações de trabalho usadas para abrir conteúdo de terceiros.
Fonte: Cyber Security News (reportagem baseada em pesquisa da Morphisec)