Check Point Research 的安全研究人員發現了一種新的惡意軟件加載程序“GodLoader”,它利用遊戲引擎“Godot Engine”。
對於那些不知道的人來說,Godot Engine 是一種流行的開源遊戲引擎,以其在 2D 和 3D 遊戲開發中的多功能性而聞名。
其用戶友好的界面和強大的功能集允許開發人員將游戲導出到各種平台,包括 Windows、macOS、Linux、Android、iOS、HTML5 (Web) 等。
其受 Python 啟發的腳本語言 GDScript,以及對 VisualScript 和 C# 的支持,使其成為各種技能水平的開發人員的最愛。
該平台擁有一個由 2,700 多名開發者和大約 80,000 名社交媒體關注者組成的活躍且不斷增長的社區,其受歡迎程度和專注支持是不可否認的。
然而,該平台的受歡迎程度也使其成為網絡犯罪分子的目標,他們利用其開源特性來傳遞惡意命令和惡意軟件,同時卻未被 VirusTotal 中的幾乎所有防病毒引擎檢測到。
在一份題為“遊戲引擎:惡意軟件加載程序未被發現的遊樂場研究人員表示,他們認為 GodLoader 惡意軟件背後的威脅行為者自 2024 年 6 月 29 日以來一直在使用該惡意軟件,迄今為止已感染了超過 17,000 台設備。
值得注意的是,這些有效負載包括 XMRig 等加密貨幣挖礦程序,該挖礦程序託管在 2024 年 5 月 10 日上傳的私人 Pastebin 文件上。該文件包含與該活動相關的 XMRig 配置,該文件被訪問了 206,913 次。
該惡意軟件通過 Stargazers Ghost Network 進行分發,該網絡以分發即服務 (DaaS) 模式運行,使惡意軟件能夠通過 GitHub 存儲庫進行“合法”分發。
整個 9 月和 10 月,使用了大約 200 個存儲庫和超過 225 個 Stargazer Ghost 帳戶來分發 GodLoader。
這些攻擊針對開發者、遊戲玩家和普通用戶,於 2024 年 9 月 12 日、9 月 14 日、9 月 29 日和 10 月 3 日通過 GitHub 存儲庫分四波進行,誘使他們下載受感染的工具和遊戲。
“Godot 使用 .pck (pack) 文件來捆綁遊戲資產和資源,例如腳本、場景、紋理、聲音和其他數據。遊戲可以動態加載這些文件,允許開發人員分發更新、可下載內容 (DLC) 或其他遊戲資產,而無需修改核心遊戲可執行文件。”Check Point 研究人員說報告中。
“這些包文件可能包含與遊戲、圖像、音頻文件和任何其他“靜態”文件相關的元素。除了這些靜態文件之外,.pck 文件還可以包含用 GDScript (.gd) 編寫的腳本。這些腳本可以在使用內置回調函數 _ready() 加載 .pck 時執行,從而允許遊戲添加新功能或修改現有行為。
“此功能為攻擊者提供了多種可能性,從下載額外的惡意軟件到執行遠程有效負載,同時保持不被發現。由於 GDScript 是一種功能齊全的語言,威脅行為者俱有許多功能,如反沙箱、反虛擬機措施和遠程有效負載執行,從而使惡意軟件保持不被發現。”
雖然研究人員只識別了專門針對 Windows 系統的 GodLoader 樣本,但他們還使用 GDScript 開發了一個概念驗證漏洞,展示了惡意軟件如何輕鬆地適應針對 Linux 和 macOS 系統。
為了降低 GodLoader 等威脅帶來的風險,至關重要的是及時更新操作系統和應用程序補丁,並謹慎對待包含未知來源鏈接的意外電子郵件或消息。
此外,培養員工的網絡安全意識並在有疑問時諮詢安全專家可以顯著提高針對潛在安全挑戰的防護能力。
為了回應 Check Point Research 的報告,Godot 引擎維護者兼安全團隊成員 Rémi Verschelde 向電腦發出蜂鳴聲:
正如 Check Point Research 報告所述,該漏洞並非 Godot 特有。 Godot Engine 是一個帶有腳本語言的編程系統。例如,它類似於 Python 和 Ruby 運行時。用任何編程語言都可以編寫惡意程序。我們不認為 Godot 比其他此類程序更適合這樣做。
僅在系統上安裝了 Godot 遊戲或編輯器的用戶不會特別面臨風險。我們鼓勵人們只執行來自可信來源的軟件。
有關更多技術細節:
Godot 不為“.pck”文件註冊文件處理程序。這意味著惡意行為者始終必須將 Godot 運行時與 .pck 文件一起發送。用戶始終必須將運行時與 .pck 一起解壓到同一位置,然後執行運行時。除非存在其他操作系統級漏洞,否則惡意行為者無法創建“一鍵漏洞利用”。如果使用這樣的操作系統級漏洞,那麼由於運行時的大小,Godot 將不是一個特別有吸引力的選擇。
這類似於用 Python 或 Ruby 編寫惡意軟件,惡意行為者必須將 python.exe 或 ruby.exe 與其惡意程序一起發送。
