Check Point Research 的安全研究人員發現了一種新的惡意軟體載入程式“GodLoader”,它利用遊戲引擎“Godot Engine”。
對於那些不知道的人來說,Godot Engine 是一種流行的開源遊戲引擎,以其在 2D 和 3D 遊戲開發中的多功能性而聞名。
其用戶友好的介面和強大的功能集允許開發人員將遊戲匯出到各種平台,包括 Windows、macOS、Linux、Android、iOS、HTML5 (Web) 等。
其受 Python 啟發的腳本語言 GDScript,以及對 VisualScript 和 C# 的支持,使其成為各種技能水平的開發人員的最愛。
該平台擁有一個由 2,700 多名開發者和大約 80,000 名社交媒體追隨者組成的活躍且不斷增長的社區,其受歡迎程度和專注支持是不可否認的。
然而,該平台的受歡迎程度也使其成為網路犯罪分子的目標,他們利用其開源特性來傳遞惡意命令和惡意軟體,同時卻未被 VirusTotal 中的幾乎所有防毒引擎檢測到。
在一份題為“遊戲引擎:惡意軟體載入程式未被發現的遊樂場研究人員表示,他們認為 GodLoader 惡意軟體背後的威脅行為者自 2024 年 6 月 29 日以來一直在使用該惡意軟體,迄今已感染了超過 17,000 台裝置。
值得注意的是,這些有效負載包括XMRig 等加密貨幣挖礦程序,該挖礦程序託管在2024 年5 月10 日上傳的私人Pastebin 文件上。訪問了206,913 次。
該惡意軟體透過 Stargazers Ghost Network 進行分發,該網路以分發即服務 (DaaS) 模式運行,使惡意軟體能夠透過 GitHub 儲存庫進行「合法」分發。
整個 9 月和 10 月,使用了大約 200 個儲存庫和超過 225 個 Stargazer Ghost 帳戶來分發 GodLoader。
這些攻擊針對開發者、遊戲玩家和一般用戶,於2024 年9 月12 日、9 月14 日、9 月29 日和10 月3 日透過GitHub 儲存庫分四波進行,誘使他們下載受感染的工具和遊戲。
「Godot 使用 .pck(套件)檔案來捆綁遊戲資產和資源,例如腳本、場景、紋理、聲音和其他資料。遊戲可以動態載入這些文件,讓開發人員可以分發更新、可下載內容 (DLC) 或其他遊戲資產,而無需修改核心遊戲可執行檔。說報告中。
「這些套件檔案可能包含與遊戲、圖像、音訊檔案和任何其他「靜態」檔案相關的元素。除了這些靜態檔案之外,.pck 檔案還可以包含用 GDScript (.gd) 編寫的腳本。這些腳本可以在使用內建回呼函數 _ready() 載入 .pck 時執行,從而允許遊戲新增功能或修改現有行為。
「此功能為攻擊者提供了多種可能性,從下載額外的惡意軟體到執行遠端有效負載,同時保持不被發現。由於 GDScript 是一種功能齊全的語言,威脅行為者俱有許多功能,例如反沙箱、反虛擬機措施和遠端有效負載執行,從而使惡意軟體無法被發現。
雖然研究人員只識別了專門針對 Windows 系統的 GodLoader 樣本,但他們也使用 GDScript 開發了一個概念驗證漏洞,展示了惡意軟體如何輕鬆適應針對 Linux 和 macOS 系統。
為了降低 GodLoader 等威脅帶來的風險,至關重要的是及時更新作業系統和應用程式補丁,並謹慎對待包含未知來源連結的意外電子郵件或訊息。
此外,培養員工的網路安全意識並在有疑問時諮詢安全專家可以顯著提高針對潛在安全挑戰的防護能力。
為了回應 Check Point Research 的報告,Godot 引擎維護者兼安全團隊成員 Rémi Verschelde 向電腦發出蜂鳴聲:
正如 Check Point Research 報告所述,該漏洞並非 Godot 特有。 Godot Engine 是一個有腳本語言的程式系統。例如,它類似於 Python 和 Ruby 運行時。用任何程式語言都可以編寫惡意程式。我們不認為 Godot 比其他此類程式更適合這樣做。
僅在系統上安裝了 Godot 遊戲或編輯器的使用者不會特別面臨風險。我們鼓勵人們只執行來自可信賴來源的軟體。
更多技術細節:
Godot 不會為「.pck」檔案註冊檔案處理程序。這意味著惡意行為者始終必須將 Godot 運行時與 .pck 檔案一起發送。使用者始終必須將運行時與 .pck 一起解壓縮到相同位置,然後執行運行時。除非存在其他作業系統級漏洞,否則惡意行為者無法建立「一鍵漏洞利用」。如果使用這樣的作業系統級漏洞,那麼由於運行時的大小,Godot 將不是一個特別有吸引力的選擇。
這類似於用 Python 或 Ruby 編寫惡意軟體,惡意行為者必須將 python.exe 或 ruby.exe 與其惡意程式一起傳送。
![如何在 Facebook 上鎖定您的個人資料 [簡單方法]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2022/03/facebokprofilelockcover.png)
