セキュリティ研究者たちは、Blender Foundationのファイルを悪用して情報窃取マルウェアStealC V2を拡散する新たなキャンペーンの詳細を明らかにしました。この攻撃は、少なくとも6ヶ月間活動しており、CGTraderのようなプラットフォーム上で悪意のある.blendファイルを配布しています。ユーザーが知らずにこれらの3Dモデルファイルをダウンロードし、Blenderで開くと、埋め込まれたPythonスクリプトが実行されるように設計されています。Blenderは、無料のオープンソース3D制作スイートとして広く利用されています。
Morphisecの研究者であるShmuel Uzanは、「この継続的な作戦は、少なくとも6ヶ月間活動しており、CGTraderのようなプラットフォーム上で悪意のある.blendファイルを植え付けることを含んでいます」と述べています。ユーザーは、これらの3Dモデルファイルをダウンロードすると、Blender内で自動的に実行されるPythonスクリプトが埋め込まれていることに気づかずに開いてしまいます。
この活動は、過去にロシア語を話す脅威アクターに関連付けられたキャンペーンと類似点があります。過去のキャンペーンでは、Electronic Frontier Foundation(EFF)を装い、オンラインゲームコミュニティを標的としてStealCとPyramid C2に感染させました。今回の攻撃も、おとり文書の使用、回避技術、マルウェアのバックグラウンド実行など、戦術的な類似性が見られます。
Blenderのドキュメントでも、Pythonスクリプトを.blendファイルに含める機能は、高度なタスクには有用であるものの、セキュリティリスクがあることが認識されています。Pythonスクリプトは、スクリプトが実行できることを制限しないため、悪用される可能性があります。
攻撃チェーンは、悪意のある「Rig_Ui.py」スクリプトを含む悪意のある.blendファイルをCGTraderのような無料の3Dアセットサイトにアップロードすることから始まります。これらのファイルがBlenderの自動実行機能が有効になっている状態で開かれると、スクリプトが実行され、PowerShellスクリプトをフェッチして2つのZIPアーカイブをダウンロードします。1つのZIPファイルにはStealC V2のペイロードが含まれており、もう1つのアーカイブは侵害されたホストに二次的なPythonベースの窃盗ツールを展開します。
StealCのアップデート版は、2025年4月下旬に最初に発表され、広範な情報収集機能をサポートしており、23のブラウザ、100のWebプラグインと拡張機能、15の暗号通貨ウォレットアプリ、メッセージングサービス、VPN、および電子メールクライアントからデータを抽出できます。Morphisecは、「ファイルのソースが信頼できる場合を除き、自動実行を無効にしておくこと」を推奨しています。「攻撃者は、通常GPUを搭載した物理マシン上で実行されるBlenderを悪用し、サンドボックスや仮想環境をバイパスします。」
BleepingComputerの報道によれば、サイバー犯罪はサービスとしてのモデルに移行しており、フィッシングキット、Telegram OTPボット、インフォスティーラーのログ、さらにはRAT(Remote Access Trojan)などがSaaSツールのようにレンタルされています。Varonisは、この「犯罪アズアサービス」経済が参入障壁を下げ、低スキルの攻撃者でも高度な機能にオンデマンドでアクセスできるようになると説明しています。
また、Shai-Hulud 2.0と呼ばれるNPMマルウェア攻撃では、NPM(Node Package Manager)レジストリ内の数百のパッケージが感染し、盗まれたデータが30,000のGitHubリポジトリに公開された結果、約40万件の未加工の秘密情報が漏洩しました。この攻撃は、ソフトウェアサプライチェーンのセキュリティにおけるリスクを浮き彫りにしています。
さらに、韓国では、ハッキングされたIPカメラから盗まれた映像を海外のアダルトサイトに販売した疑いで4人が逮捕されました。彼らは国内の12万台以上のIPカメラをハッキングしたとされています。この事件は、IoTデバイスのセキュリティの脆弱性と、それらが悪用される可能性を示しています。
これらの事件は、サイバー攻撃の手法が多様化し、高度化していることを示しています。Blenderの3Dアセットを悪用したStealC V2の拡散、NPMマルウェア攻撃による秘密情報の漏洩、IPカメラのハッキングなど、それぞれ異なる手法が用いられていますが、共通して言えるのは、セキュリティ対策の重要性がますます高まっているということです。企業や個人は、これらの脅威に対抗するために、セキュリティ意識の向上、適切なセキュリティツールの導入、そして定期的なセキュリティアップデートを実施する必要があります。
特に、Blenderのような広く利用されているソフトウェアを悪用した攻撃は、多くのユーザーに影響を与える可能性があります。Blenderユーザーは、ファイルの出所を確認し、自動実行機能を無効にするなどの対策を講じることで、被害を最小限に抑えることができます。また、ソフトウェアサプライチェーン攻撃に対する対策として、利用するソフトウェアのセキュリティリスクを評価し、信頼できるソースからのみソフトウェアをダウンロードすることが重要です。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Hackers Hijack Blender 3D Assets to Deploy StealC V2 Data-Stealing Malware - https://thehackernews.com/2025/11/hackers-hijack-blender-3d-assets-to.html
- -News in the Security category - https://www.bleepingcomputer.com/news/security/