Netcrook Logo
👤 HEXSENTINEL
🗓️ 25 Nov 2025   🌍 Europe

Art 3D ou piège cybernétique ? Des hackers transforment les fichiers Blender en chevaux de Troie numériques

Des criminels liés à la Russie dissimulent de puissants malwares voleurs d’informations dans des fichiers de modèles 3D, exploitant les fonctionnalités de script de Blender pour cibler des créateurs et designers du monde entier sans méfiance.

En bref

  • Des fichiers de modèles Blender malveillants diffusent le malware voleur d’informations StealC V2 via des places de marché 3D populaires.
  • L’attaque exploite la fonction « Exécution automatique des scripts Python » de Blender, que de nombreux utilisateurs activent par commodité.
  • StealC peut voler des identifiants, des portefeuilles crypto, des données de messagerie et plus encore - tout en échappant à la plupart des antivirus.
  • Les victimes sont infectées simplement en ouvrant un fichier .blend corrompu ; aucun avertissement évident n’apparaît.
  • Les experts recommandent aux créateurs de traiter les assets 3D comme des fichiers exécutables et de désactiver l’exécution automatique des scripts dans Blender.

L’art numérique face à la tromperie des malwares

Imaginez un sculpteur, taillant le marbre, sans savoir que la pierre est empoisonnée. C’est la nouvelle réalité pour les artistes et designers numériques qui utilisent Blender, la suite 3D open source la plus populaire au monde. Lors d’une récente campagne attribuée à des cybercriminels russes, les attaquants ont transformé les fichiers .blend de Blender en armes, y intégrant des scripts malveillants qui installent discrètement le tristement célèbre StealC V2 sur les machines des victimes.

L’attaque est aussi insidieuse qu’ingénieuse. Sur des places de marché 3D réputées comme CGTrader, les hackers publient des rigs de personnages et assets apparemment légitimes. Mais ces fichiers sont des chevaux de Troie : si l’utilisateur a activé la fonction « Exécution automatique des scripts Python » de Blender - ce qui est fréquent pour faciliter le flux de travail - le malware s’active dès l’ouverture du fichier.

Déroulement de l’attaque

Selon la société de cybersécurité Morphisec, le fichier .blend malveillant exécute discrètement du code Python intégré. Ce code récupère un chargeur secondaire depuis un serveur basé sur Cloudflare, qui télécharge ensuite d’autres charges utiles - spécifiquement, deux archives ZIP nommées ZalypaGyliveraV1 et BLENDERX - depuis des adresses contrôlées par les attaquants. Ces archives sont extraites dans le dossier temporaire du système, installant des raccourcis dans le dossier de démarrage pour garantir que le malware s’exécute à chaque démarrage de l’ordinateur.

La cible principale est StealC : un voleur d’informations sophistiqué. La dernière version peut dérober des mots de passe et des données sur plus de 23 navigateurs, plus de 100 extensions de portefeuilles crypto, des applications de messagerie populaires comme Telegram et Discord, ainsi que des clients VPN et email. Un autre infostealer basé sur Python est également déployé, probablement en secours si la première méthode échoue.

Vieilles ficelles, nouvelle toile

Utiliser des assets créatifs comme vecteurs de malware n’est pas nouveau - des attaquants ont déjà caché des menaces dans des PDF, des fichiers Office, voire des documents Photoshop. Ce qui est inédit ici, c’est l’exploitation des fonctions d’automatisation de Blender, conçues pour accélérer les workflows mais détournées à des fins de vol numérique.

Le marché des assets 3D est en plein essor, avec des freelances, studios de jeux et animateurs du monde entier qui dépendent de places de marché communautaires. Cette économie créative mondiale devient désormais un terrain de chasse attrayant pour les cybercriminels. Des rapports indiquent que la variante de StealC utilisée dans ces attaques est si récente qu’aucun moteur antivirus sur VirusTotal ne l’a détectée lors de l’analyse.

Protéger l’atelier numérique

La leçon est claire : dans le monde de l’art numérique, les fichiers ne sont plus de simples outils créatifs - ils peuvent devenir des armes. Les experts recommandent de désactiver l’exécution automatique des scripts dans Blender, de vérifier soigneusement la provenance de chaque asset 3D, et d’envisager de tester les fichiers dans des environnements isolés (sandbox). À mesure que la frontière entre créativité et cybercriminalité s’estompe, la vigilance devient aussi essentielle que l’imagination.

Dans la course entre liberté artistique et tromperie numérique, une chose est sûre : même les fichiers les plus beaux peuvent cacher les secrets les plus laids. Pour les créateurs comme pour les collectionneurs, un instant de prudence peut être la seule barrière entre l’inspiration et l’infiltration.

WIKICROOK

  • Blender : Blender est un outil gratuit et open source de création 3D utilisé pour la modélisation, l’animation et le rendu dans des secteurs comme le cinéma, le jeu vidéo et le design.
  • Infostealer : Un infostealer est un malware conçu pour voler des données sensibles - comme des mots de passe, cartes bancaires ou documents - sur des ordinateurs infectés à l’insu de l’utilisateur.
  • Script Python : Un script Python est un petit programme écrit en Python, souvent utilisé pour automatiser des tâches ou, en cybersécurité, pour déployer des malwares ou tester la sécurité.
  • Persistance : La persistance désigne les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
  • Sandbox : Une sandbox est un environnement sécurisé et isolé où les experts analysent en toute sécurité des fichiers ou programmes suspects sans mettre en danger les systèmes ou données réels.
3D Art Cybersecurity Malware
HEXSENTINEL HEXSENTINEL
Binary & Malware Analyst
← Back to news