Assets Infectados em Marketplaces: Um Alerta para Desenvolvedores de Jogos
Um incidente no marketplace de assets de jogos FAB expôs a vulnerabilidade de plataformas em detectar conteúdo malicioso. Mais de mil assets infectados foram carregados sem detecção, levantando preocupações sobre a segurança de recursos digitais.
MundiX News·25 de junho de 2026·5 min de leitura·👁 1 views
Este artigo serve como um aviso para desenvolvedores de jogos, iniciantes ou experientes, sobre os riscos ocultos em marketplaces de assets. Um incidente recente no FAB, um popular marketplace de assets para jogos, revelou uma falha significativa nos mecanismos de segurança da plataforma. Durante um período de três dias, um usuário identificado como AIGUL12 conseguiu carregar mais de mil assets infectados sem encontrar qualquer resistência por parte do FAB.
O incidente começou quando o autor do artigo, em busca de assets gratuitos no FAB em 19 de junho, notou uma série de uploads de um único autor. A suspeita aumentou devido à apresentação genérica dos assets, com apenas duas imagens, sendo uma delas um reflexo da outra, e descrições que pareciam geradas por inteligência artificial. Ao baixar um dos assets no formato .blend, o Blender exibiu um aviso sobre a presença de um script, que o autor optou por ignorar inicialmente. No entanto, a curiosidade o levou a investigar o conteúdo do arquivo .blend, onde descobriu um script malicioso.
O script continha uma longa string ofuscada, que, após análise, revelou-se codificada em Base64. Os primeiros cinco caracteres eram descartados, e o restante era decodificado e executado usando a instrução exec. Essa instrução permite a execução de qualquer string como código ativo diretamente no sistema operacional, possibilitando que o malware baixe uma carga útil adicional para o computador da vítima. O código decodificado demonstrava a intenção de buscar e executar código adicional de fontes externas, utilizando um padrão de subdomínio para mascarar o destino final.
As tentativas de alertar a comunidade e a plataforma FAB foram inicialmente infrutíferas. O autor relatou dois assets e o autor para a FAB, recebendo a resposta padrão de que "nenhuma violação foi encontrada". Uma comunicação com o suporte técnico resultou em uma resposta que sugeria um método de importação seguro para os modelos 3D, em vez de bloquear o usuário malicioso. A divulgação em comunidades online e para influenciadores de jogos também encontrou pouca receptividade, com artigos sendo filtrados automaticamente ou ignorados. Somente após três dias, com a informação sendo divulgada no Reddit, a Epic Games (proprietária do FAB) finalmente agiu, removendo a conta e todos os listings associados.
As conclusões deste incidente são preocupantes. Primeiramente, os mecanismos de segurança e moderação prévia em muitos marketplaces de assets são seriamente comprometidos, se é que existem. Desenvolvedores devem sempre presumir que qualquer asset baixado de fontes externas pode conter malware, independentemente da legitimidade da plataforma. A ameaça não se limita a arquivos .blend; plugins de Unreal Engine, pacotes Unity e arquivos de outros programas 3D também podem ser vetores de ataque. Além disso, novas funcionalidades como o sistema "Get Extensions" do Blender, que executa código Python de extensões baixadas, também representam um risco potencial. Em resumo, a frase "eu apenas baixei um modelo" pode custar a perda de um projeto inteiro no desenvolvimento de jogos moderno. É crucial manter a vigilância e implementar práticas de segurança rigorosas ao utilizar recursos de terceiros.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Este artigo serve como um aviso para desenvolvedores de jogos, iniciantes ou experientes, sobre os riscos ocultos em marketplaces de assets. Um incidente recente no FAB, um popular marketplace de assets para jogos, revelou uma falha significativa nos mecanismos de segurança da plataforma. Durante um período de três dias, um usuário identificado como AIGUL12 conseguiu carregar mais de mil assets infectados sem encontrar qualquer resistência por parte do FAB.
O incidente começou quando o autor do artigo, em busca de assets gratuitos no FAB em 19 de junho, notou uma série de uploads de um único autor. A suspeita aumentou devido à apresentação genérica dos assets, com apenas duas imagens, sendo uma delas um reflexo da outra, e descrições que pareciam geradas por inteligência artificial. Ao baixar um dos assets no formato .blend, o Blender exibiu um aviso sobre a presença de um script, que o autor optou por ignorar inicialmente. No entanto, a curiosidade o levou a investigar o conteúdo do arquivo .blend, onde descobriu um script malicioso.
O script continha uma longa string ofuscada, que, após análise, revelou-se codificada em Base64. Os primeiros cinco caracteres eram descartados, e o restante era decodificado e executado usando a instrução exec. Essa instrução permite a execução de qualquer string como código ativo diretamente no sistema operacional, possibilitando que o malware baixe uma carga útil adicional para o computador da vítima. O código decodificado demonstrava a intenção de buscar e executar código adicional de fontes externas, utilizando um padrão de subdomínio para mascarar o destino final.
As tentativas de alertar a comunidade e a plataforma FAB foram inicialmente infrutíferas. O autor relatou dois assets e o autor para a FAB, recebendo a resposta padrão de que "nenhuma violação foi encontrada". Uma comunicação com o suporte técnico resultou em uma resposta que sugeria um método de importação seguro para os modelos 3D, em vez de bloquear o usuário malicioso. A divulgação em comunidades online e para influenciadores de jogos também encontrou pouca receptividade, com artigos sendo filtrados automaticamente ou ignorados. Somente após três dias, com a informação sendo divulgada no Reddit, a Epic Games (proprietária do FAB) finalmente agiu, removendo a conta e todos os listings associados.
As conclusões deste incidente são preocupantes. Primeiramente, os mecanismos de segurança e moderação prévia em muitos marketplaces de assets são seriamente comprometidos, se é que existem. Desenvolvedores devem sempre presumir que qualquer asset baixado de fontes externas pode conter malware, independentemente da legitimidade da plataforma. A ameaça não se limita a arquivos .blend; plugins de Unreal Engine, pacotes Unity e arquivos de outros programas 3D também podem ser vetores de ataque. Além disso, novas funcionalidades como o sistema "Get Extensions" do Blender, que executa código Python de extensões baixadas, também representam um risco potencial. Em resumo, a frase "eu apenas baixei um modelo" pode custar a perda de um projeto inteiro no desenvolvimento de jogos moderno. É crucial manter a vigilância e implementar práticas de segurança rigorosas ao utilizar recursos de terceiros.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
