كشف باحثون في الأمن السيبراني عن حملة تجسس إلكترونية جديدة تستهدف مستخدمي برنامج Blender الشهير لإنشاء الرسوم ثلاثية الأبعاد، حيث يتم استغلال ملفات.blend لنشر برمجية خبيثة تُعرف باسم StealC V2، وهي نسخة مطورة من أداة متقدمة لسرقة البيانات.
ملفات ثلاثية الأبعاد تتحول إلى أدوات اختراق
وفقاً لتقرير صادر عن شركة Morphisec، فإن الحملة النشطة منذ أكثر من ستة أشهر تعتمد على تحميل ملفات.blend خبيثة إلى منصات مشاركة النماذج ثلاثية الأبعاد مثل CGTrader. هذه الملفات تحتوي على سكربتات Python مدمجة تُنفذ تلقائياً عند فتحها في برنامج Blender إذا كانت خاصية “Auto Run” مفعّلة، مما يتيح تنفيذ تعليمات برمجية ضارة دون علم المستخدم.
تشابه تكتيكي مع حملات روسية سابقة
أشارت Morphisec إلى أن هذه الحملة تشترك في خصائص تكتيكية مع هجمات سابقة نُسبت إلى جهات ناطقة بالروسية، والتي استهدفت مجتمع الألعاب الإلكترونية عبر انتحال هوية مؤسسة EFF، واستخدمت أدوات مثل StealC وPyramid C2. تشمل أوجه التشابه استخدام مستندات وهمية، تقنيات مراوغة، وتنفيذ البرمجيات الخبيثة في الخلفية.
StealC V2: قدرات متقدمة لجمع البيانات
تتضمن سلسلة الهجوم تحميل سكربت “Rig_Ui.py” الخبيث داخل ملف.blend، والذي يقوم عند تنفيذه بجلب سكربت PowerShell لتحميل أرشيفين مضغوطين. يحتوي أحد الأرشيفين على الحمولة الرئيسية لبرمجية StealC V2، بينما يحتوي الآخر على أداة تجسس إضافية مكتوبة بلغة Python.
تتميز StealC V2 بقدرتها على جمع معلومات من:
– 23 متصفح ويب
– 100 إضافة ومكون إضافي
– 15 محفظة عملات رقمية
– تطبيقات المراسلة وخدمات VPN والبريد الإلكتروني
توصيات أمنية: تعطيل التشغيل التلقائي في Blender
أقرت مؤسسة Blender نفسها بالمخاطر الأمنية المرتبطة بتضمين سكربتات Python داخل ملفات.blend، مشيرة إلى أن Python لا يفرض قيوداً على ما يمكن للسكربت تنفيذه. لذلك، توصي Morphisec المستخدمين بتعطيل خاصية Auto Run وعدم تفعيلها إلا عند التأكد من موثوقية مصدر الملف.
كما حذرت الشركة من أن Blender غالباً ما يُشغّل على أجهزة فعلية مزودة بوحدات معالجة رسومية (GPU)، مما يجعل من الصعب اكتشاف هذه الهجمات عبر بيئات الاختبار الافتراضية أو أدوات التحليل التقليدية.
