FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

2025年11月27日，Morphisec发布紧急安全通告，披露针对3D艺术家、游戏开发者和爱好者的高级恶意软件攻击活动。至少六个月以来，攻击者一直在CGTrader等平台武器化3D模型文件，传播臭名昭著的StealC V2信息窃取木马。

当用户下载诸如"NASA阿波罗11号宇航服"等看似合法的模型文件时，其系统实际上已被植入专门窃取数字资产的恶意软件。

攻击技术剖析

该攻击利用开源3D创作软件Blender的核心功能——嵌入并执行Python脚本。正常文件会使用Rig_Ui.py等脚本生成角色骨骼界面，但攻击者将恶意代码植入这些脚本。若用户在Blender设置中启用了"自动运行Python脚本"，打开文件时恶意程序就会在后台静默执行。

由于Blender通常运行在配备GPU的高性能物理机上（用于渲染处理），此方法能有效绕过安全研究人员用于检测恶意软件的沙箱和虚拟环境。

攻击者溯源

最新证据表明该活动与俄语黑客组织有关，该组织此前曾参与StealC恶意软件分发。其战术与早期冒充电子前沿基金会（EFF）针对游戏玩家的攻击高度相似，共同特征包括：

• 使用诱饵文档/文件
• 采用高级规避技术
• 依赖Pyramid C2（命令与控制）基础设施

感染流程详解

受害者打开被篡改的.blend文件后，将触发多阶段感染过程：

1. 初始执行：内嵌Python脚本在后台静默运行
2. 载荷获取：下载PowerShell脚本，从攻击者控制域名获取ZalypaGyliveraV1和BLENDERX两个ZIP压缩包
3. 解压驻留：将压缩包解压至%TEMP%目录，在Windows启动文件夹创建LNK文件实现持久化
4. 最终执行：部署StealC V2主程序及辅助Python窃密工具

StealC V2窃密能力

2025年4月首次曝光的StealC V2是原始窃密木马的强化版，地下市场售价约200美元/月，可窃取包括：

• 浏览器数据：针对23种浏览器（含Chrome 132+）的Cookie、密码和历史记录
• 加密钱包：扫描15种以上桌面钱包
• 浏览器扩展：入侵超100种网页插件
• 应用程序：窃取Discord、Telegram、ProtonVPN等应用数据

值得注意的是，该恶意软件目前在VirusTotal等平台的检出率极低，即使安装杀毒软件的用户也面临风险。最有效的防御措施是禁用Blender中的"自动运行Python脚本"功能，除非完全信任文件来源。

参考来源：

Hidden Danger in 3D: Malicious Blender Files Unleash StealC V2 Infostealer

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）