Sebuah kampanye siber yang dikaitkan dengan aktor ancaman asal Rusia terungkap memanfaatkan file Blender berbahaya untuk menyebarkan StealC V2, salah satu malware pencuri informasi (infostealer) yang terus berkembang. File tersebut diunggah ke marketplace 3D seperti CGTrader dan menyasar kreator maupun profesional yang menggunakan Blender dalam alur kerja mereka.
Blender, sebagai perangkat lunak 3D open-source yang sangat fleksibel, memungkinkan eksekusi skrip Python untuk otomatisasi, pembuatan panel UI custom, add-on, hingga integrasi pipeline. Banyak pengguna mengaktifkan fitur Auto Run demi kemudahan penggunaan, meski fitur ini membuka peluang penyalahgunaan karena skrip dapat berjalan otomatis saat file dibuka.
Peneliti dari Morphisec menemukan bahwa file .blend berbahaya dalam kampanye ini memuat skrip Python tersembunyi yang mengunduh loader malware dari domain Cloudflare Workers. Loader tersebut kemudian mengambil skrip PowerShell yang mengunduh dua arsip ZIP—ZalypaGyliveraV1 dan BLENDERX—dari alamat IP milik pelaku.
Arsip tersebut diekstrak ke folder %TEMP%, kemudian membuat file .LNK di direktori Startup untuk memastikan malware berjalan setiap kali sistem dinyalakan. Setelah itu, dua payload dideploy: malware StealC, dan sebuah stealer berbasis Python sebagai cadangan.
Kemampuan StealC yang Semakin Luas
Varian terbaru StealC yang dianalisis merupakan versi lanjut dari StealC V2 seperti yang sebelumnya diteliti oleh Zscaler. Kemampuan pencurian datanya kini semakin komprehensif, termasuk:
- Dukungan lebih dari 23 browser, dengan dekripsi kredensial sisi server dan kompatibilitas Chrome 132+
- Lebih dari 100 ekstensi dompet kripto, serta 15 aplikasi dompet kripto
- Aplikasi komunikasi seperti Telegram, Discord, Tox, Pidgin
- Klien VPN seperti ProtonVPN dan OpenVPN
- Klien email seperti Thunderbird
- Mekanisme bypass UAC yang diperbarui
Menariknya, meskipun StealC telah didokumentasikan sejak 2023, varian terbaru yang dianalisis Morphisec tidak terdeteksi oleh satu pun mesin antivirus di VirusTotal, menunjukkan tingkat penghindaran deteksi yang tinggi.
Ancaman Serius bagi Komunitas Kreator 3D
Karena marketplace 3D tidak memungkinkan pemeriksaan kode secara mendalam pada file yang diunggah pengguna, file Blender harus diperlakukan seperti executable. Pengguna disarankan untuk:
- Menonaktifkan Auto Run Python Scripts melalui Blender > Edit > Preferences,
- Hanya mengunduh aset dari publisher bereputasi,
- Menggunakan lingkungan terisolasi (sandbox) untuk menguji file dari sumber yang belum diverifikasi.
Ekosistem kreatif 3D kini menjadi target empuk bagi serangan supply chain yang mengandalkan file model, sehingga kewaspadaan pengguna sangat penting untuk mencegah kompromi sistem.