นักวิจัยด้านความปลอดภัยที่ Check Point Research ได้ค้นพบตัวโหลดมัลแวร์ตัวใหม่ “GodLoader” ซึ่งใช้ประโยชน์จากเอ็นจิ้นเกม “Godot Engine”
สำหรับผู้ที่ไม่รู้ตัว Godot Engine คือเอ็นจิ้นเกมโอเพ่นซอร์สยอดนิยมที่ขึ้นชื่อเรื่องความคล่องตัวในการพัฒนาเกม 2D และ 3D
อินเทอร์เฟซที่เป็นมิตรต่อผู้ใช้และชุดคุณลักษณะที่มีประสิทธิภาพช่วยให้นักพัฒนาสามารถส่งออกเกมไปยังแพลตฟอร์มต่างๆ รวมถึง Windows, macOS, Linux, Android, iOS, HTML5 (เว็บ) และอื่นๆ
ภาษาสคริปต์ที่ได้รับแรงบันดาลใจจาก Python อย่าง GDScript ควบคู่ไปกับการรองรับ VisualScript และ C# ทำให้เป็นที่ชื่นชอบในหมู่นักพัฒนาทุกระดับทักษะ
ด้วยชุมชนนักพัฒนาที่กระตือรือร้นและเติบโตมากกว่า 2,700 รายและผู้ติดตามโซเชียลมีเดียประมาณ 80,000 ราย ความนิยมของแพลตฟอร์มและการสนับสนุนเฉพาะอย่างไม่อาจปฏิเสธได้
อย่างไรก็ตาม ความนิยมของแพลตฟอร์มยังทำให้เป็นเป้าหมายของอาชญากรไซเบอร์ ซึ่งใช้ประโยชน์จากธรรมชาติของโอเพ่นซอร์สเพื่อส่งคำสั่งและมัลแวร์ที่เป็นอันตราย ในขณะที่กลไกป้องกันไวรัสเกือบทั้งหมดใน VirusTotal ตรวจไม่พบ
ในรายงานเรื่อง “เอ็นจิ้นการเล่นเกม: สนามเด็กเล่นที่ตรวจไม่พบสำหรับตัวโหลดมัลแวร์” นักวิจัยกล่าวว่าพวกเขาเชื่อว่าผู้คุกคามที่อยู่เบื้องหลังมัลแวร์ GodLoader ได้ใช้งานมันมาตั้งแต่วันที่ 29 มิถุนายน 2024 และได้แพร่เชื้อไปยังอุปกรณ์มากกว่า 17,000 เครื่องจนถึงตอนนี้
โดยเฉพาะอย่างยิ่ง เพย์โหลดเหล่านี้รวมถึงเครื่องมือขุดสกุลเงินดิจิทัล เช่น XMRig ซึ่งโฮสต์อยู่ในไฟล์ Pastebin ส่วนตัวที่อัปโหลดเมื่อวันที่ 10 พฤษภาคม 2024 ไฟล์ดังกล่าวมีการกำหนดค่า XMRig ที่เกี่ยวข้องกับแคมเปญ ซึ่งมีการเข้าชม 206,913 ครั้ง
มัลแวร์ถูกเผยแพร่ผ่าน Stargazers Ghost Network ซึ่งทำงานในรูปแบบ Distribution-as-Service (DaaS) ซึ่งช่วยให้สามารถเผยแพร่มัลแวร์ที่เป็นอันตรายได้ “ถูกต้องตามกฎหมาย” ผ่านที่เก็บ GitHub
มีการใช้พื้นที่เก็บข้อมูลประมาณ 200 แห่งและบัญชี Stargazer Ghost มากกว่า 225 บัญชีเพื่อแจกจ่าย GodLoader ตลอดเดือนกันยายนและตุลาคม
การโจมตีดังกล่าวมุ่งเป้าไปที่ผู้พัฒนา เกมเมอร์ และผู้ใช้ทั่วไป แบ่งออกเป็น 4 ระลอกผ่านพื้นที่เก็บข้อมูล GitHub ในวันที่ 12 กันยายน 14 กันยายน 29 กันยายน และ 3 ตุลาคม 2567 กระตุ้นให้พวกเขาดาวน์โหลดเครื่องมือและเกมที่ติดไวรัส
“Godot ใช้ไฟล์ .pck (แพ็ค) เพื่อรวมเนื้อหาและทรัพยากรของเกม เช่น สคริปต์ ฉาก พื้นผิว เสียง และข้อมูลอื่นๆ เกมดังกล่าวสามารถโหลดไฟล์เหล่านี้แบบไดนามิก ช่วยให้นักพัฒนาสามารถแจกจ่ายการอัปเดต เนื้อหาที่ดาวน์โหลดได้ (DLC) หรือเนื้อหาเกมเพิ่มเติมโดยไม่ต้องแก้ไขไฟล์ปฏิบัติการหลักของเกม” นักวิจัยของ Check Pointพูดว่าในรายงาน
“ไฟล์แพ็กเหล่านี้อาจมีองค์ประกอบที่เกี่ยวข้องกับเกม รูปภาพ ไฟล์เสียง และไฟล์ “คงที่” อื่นๆ นอกจากไฟล์คงที่เหล่านี้แล้ว ไฟล์ .pck ยังสามารถรวมสคริปต์ที่เขียนด้วย GDScript (.gd) ได้ด้วย สคริปต์เหล่านี้สามารถดำเนินการได้เมื่อโหลด .pck โดยใช้ฟังก์ชันเรียกกลับในตัว _ready() ทำให้เกมสามารถเพิ่มฟังก์ชันใหม่หรือแก้ไขพฤติกรรมที่มีอยู่ได้
“ฟีเจอร์นี้ทำให้ผู้โจมตีมีความเป็นไปได้มากมาย ตั้งแต่การดาวน์โหลดมัลแวร์เพิ่มเติมไปจนถึงการดำเนินการเพย์โหลดระยะไกล—ทั้งหมดนี้ยังคงตรวจไม่พบ เนื่องจาก GDScript เป็นภาษาที่ทำงานได้อย่างสมบูรณ์ ผู้คุกคามจึงมีฟังก์ชันมากมาย เช่น แอนตี้แซนด์บ็อกซ์ มาตรการต่อต้านเครื่องเสมือน และการดำเนินการเพย์โหลดจากระยะไกล ทำให้มัลแวร์ยังคงตรวจไม่พบ”
ในขณะที่นักวิจัยระบุเฉพาะตัวอย่าง GodLoader ที่กำหนดเป้าหมายระบบ Windows โดยเฉพาะ พวกเขายังได้พัฒนาช่องโหว่แบบพิสูจน์แนวคิดโดยใช้ GDScript ซึ่งแสดงให้เห็นว่ามัลแวร์สามารถปรับให้เข้ากับระบบ Linux และ macOS ที่เป็นเป้าหมายได้ง่ายเพียงใด
เพื่อลดความเสี่ยงที่เกิดจากภัยคุกคามเช่น GodLoader สิ่งสำคัญคือต้องอัปเดตระบบปฏิบัติการและแอปพลิเคชันด้วยแพตช์ที่ทันท่วงที และใช้ความระมัดระวังกับอีเมลหรือข้อความที่ไม่คาดคิดที่มีลิงก์จากแหล่งที่ไม่รู้จัก
นอกจากนี้ การส่งเสริมความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ในหมู่พนักงานและการให้คำปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยเมื่อมีข้อสงสัยสามารถปรับปรุงการป้องกันต่อความท้าทายด้านความปลอดภัยที่อาจเกิดขึ้นได้อย่างมาก
เพื่อตอบสนองต่อรายงานของ Check Point Research Rémi Verschelde ผู้ดูแล Godot Engine และสมาชิกทีมรักษาความปลอดภัยได้ส่งข้อความต่อไปนี้ไปที่คอมพิวเตอร์ส่งเสียงบี๊บ-
ตามที่รายงานของ Check Point Research ระบุไว้ ช่องโหว่ไม่ได้เฉพาะเจาะจงกับ Godot Godot Engine คือระบบการเขียนโปรแกรมที่มีภาษาสคริปต์ มันคล้ายกับรันไทม์ของ Python และ Ruby เป็นต้น เป็นไปได้ที่จะเขียนโปรแกรมที่เป็นอันตรายในภาษาการเขียนโปรแกรมใดก็ได้ เราไม่เชื่อว่า Godot มีความเหมาะสมมากหรือน้อยที่จะทำเช่นนั้นมากกว่าโปรแกรมอื่นๆ
ผู้ใช้ที่ติดตั้งเกมหรือตัวแก้ไข Godot ไว้ในระบบของตนเพียงอย่างเดียวจะไม่ตกอยู่ในความเสี่ยงโดยเฉพาะ เราสนับสนุนให้ผู้คนรันซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น
สำหรับรายละเอียดทางเทคนิคเพิ่มเติม:
Godot ไม่ได้ลงทะเบียนตัวจัดการไฟล์สำหรับไฟล์ “.pck” ซึ่งหมายความว่าผู้ที่เป็นอันตรายจะต้องจัดส่งรันไทม์ Godot พร้อมกับไฟล์ .pck เสมอ ผู้ใช้จะต้องคลายแพ็กรันไทม์พร้อมกับ .pck ไปยังตำแหน่งเดียวกันเสมอ จากนั้นรันรันไทม์ ไม่มีทางที่ผู้ประสงค์ร้ายจะสร้าง "การโจมตีด้วยคลิกเดียว" ยกเว้นช่องโหว่ระดับระบบปฏิบัติการอื่น ๆ หากใช้ช่องโหว่ระดับ OS ดังกล่าว Godot จะไม่เป็นตัวเลือกที่น่าสนใจเป็นพิเศษเนื่องจากขนาดของรันไทม์
ซึ่งคล้ายกับการเขียนซอฟต์แวร์ที่เป็นอันตรายใน Python หรือ Ruby ผู้ประสงค์ร้ายจะต้องจัดส่ง python.exe หรือ ruby.exe ร่วมกับโปรแกรมที่เป็นอันตราย
