Malware-Flut auf Printables: Angreifer nutzen Osterwochenende
3D-Druck-Plattformen wie Printables oder MakerWorld gehören längst zum Alltag, auch für Unternehmen, die dort Druckvorlagen beziehen oder eigene Designs teilen. Ein aktueller Vorfall zeigt, warum Nutzende einen genauen Blick auf die Herkunft der Dateien werfen sollten.
Über das Osterwochenende 2026 wurde die 3D-Druck-Plattform Printables mit hunderten Accounts überlaufen, die Schadsoftware verbreiteten. Der Angriff steht nicht für sich allein, denn seit Monaten schleusen Kriminelle über manipulierte 3D-Modelldateien Schadsoftware ein, um Nutzerdaten abzugreifen.
Wie mehrere Nutzer im Printables-Subreddit berichteten, tauchten ab Karfreitag im Minutentakt neue Accounts auf der Plattform auf. Erkennbar waren die Fake-Accounts an ihren schematischen Namen aus zufälligen Buchstaben plus Jahreszahl und dem fehlenden Profilbild. Sie veröffentlichten vermeintliche 3D-Modelle, darunter einen Schlüsselanhänger des bekannten Designers VC Design. Die Vorschaubilder stammten von echten Modellen. Allein der Reddit-Nutzer TheTBR meldete nach eigener Angabe 50 bis 100 solcher Accounts und schätzte, damit nur an der Oberfläche gekratzt zu haben.
Gefälschte Website als Falle
TheTBR analysierte die Download-Dateien im Detail: Neben einer PNG- und einer vermeintlichen Blender-Datei enthalte er eine PDF und eine TXT-Datei mit dem Titel „Blender conversion“. Sie verwiesen auf eine Website, die .blend-Dateien in ein anderes Format konvertieren sollte. Diese bot wiederum ein Computerprogramm an, das ein ZIP-Archiv mit einer EXE-Datei und einem Python-Skript enthielt. Laut TheTBR erkannte zum Zeitpunkt der ersten Uploads kein Virenscanner die Schadsoftware.
Am Feiertag gestartet
Der Zeitpunkt war offenbar kein Zufall, denn die Angreifer starteten ihre Upload-Welle am Karfreitag, als in weiten Teilen Europas und damit auch am Prusa-Hauptsitz in Prag ein verlängertes Wochenende begann. Eine Nutzerin meldete den Vorfall über den rund um die Uhr verfügbaren Live-Chat von Prusa Research, dem Betreiber von Printables. Auch ein Prusa-Mitarbeiter reagierte auf Reddit und bestätigte, dass trotz des Feiertagswochenendes ein kleines Team verfügbar sei und die gemeldeten Accounts so schnell wie möglich entfernt würden.
Eine bekannte Angriffsmethode in neuer Verpackung
Die Printables-Attacke ist kein Einzelfall. Bereits vor einem halben Jahr dokumentierte die Cybersicherheitsfirma Kaspersky eine ähnliche Angriffsmethode. Dabei dienten manipulierte Blender-Dateien als Transportmittel für den sogenannten „Infostealer StealC V2“. Laut Kaspersky betteten die Angreifer Python-Skripte in die Modelldateien ein, die Blender beim Öffnen automatisch ausführt, sofern die entsprechende Option aktiv ist. Diese Funktion, eigentlich für Zusatzfunktionen gedacht, ist standardmäßig aktiviert.
Die Malware soll Daten aus Browsern, Krypto-Wallet-Apps sowie Messenger, VPN-Clients und E-Mail-Programmen abgreifen. Bereits vor zehn Monaten fand ein weiterer Nutzer potenzielle Hinweise auf den Urheber wie Code-Kommentare auf Russisch, Debugging-Informationen und ein Meme auf einem der eingesetzten Server.
Schutzmaßnahmen: Was Anwender tun können
Kaspersky und Morphisec rieten Blender-Nutzern zu zwei konkreten Schutzmaßnahmen: die automatische Python-Skript-Ausführung deaktivieren und 3D-Modelle nur aus vertrauenswürdigen Quellen beziehen.
Die Blender Foundation selbst weist in ihrer Dokumentation darauf hin, dass Python-Skripte in .blend-Dateien ein erhebliches Sicherheitsrisiko darstellen, da die Programmiersprache keine eigenen Einschränkungen für die Skriptausführung vorsieht.