عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج GodLoader الخبيث

برنامج GodLoader الخبيث

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:
العربية

لقد أصبح محرك Godot مفتوح المصدر الشهير، وهو أداة تستخدم على نطاق واسع لتطوير الألعاب ثنائية وثلاثية الأبعاد، محور تهديد إلكتروني جديد يُعرف باسم حملة GodLoader. منذ يونيو 2024 على الأقل، قامت هذه الحملة الخطيرة باختراق أكثر من 17000 نظام من خلال استغلال قدرات البرمجة النصية للمنصة لتنفيذ أكواد ضارة.

أداة موثوقة تحولت إلى ناقل تهديد

إن تعدد استخدامات Godot Engine، ودعم التطوير عبر أنظمة Windows وmacOS وLinux وAndroid وiOS وأجهزة الألعاب الرئيسية، جعلها أيضًا أداة جذابة لمجرمي الإنترنت. من خلال الاستفادة من مرونة Godot، يقوم المهاجمون بتضمين كود GDScript الفاسد في ملفات قابلة للتنفيذ مخصصة لإطلاق البرامج الضارة، متجاوزين بذلك جميع آليات الكشف عن البرامج الضارة تقريبًا. تسلط هذه الحملة الضوء على كيفية تسليح أدوات مفتوحة المصدر الموثوقة ضد مستخدميها.

بالنسبة لـ 1.2 مليون شخص يتفاعلون مع الألعاب المصممة باستخدام Godot، فإن التداعيات تمتد إلى ما هو أبعد من أمن الأجهزة الشخصية إلى الضرر المحتمل للنظام البيئي الأوسع للألعاب. وهذا يؤكد على الحاجة الملحة للمطورين والصناعة لتبني تدابير الأمن السيبراني الاستباقية عبر المنصات.

كيف يعمل GodLoader: استراتيجية توزيع متعددة الأوجه

ما يميز هذه الحملة هو استخدامها المتطور لـ GitHub كناقل للتوزيع. يستخدم المهاجمون شبكة Stargazers Ghost Network، التي تضم ما يقرب من 200 مستودع GitHub وأكثر من 225 حسابًا احتياليًا. تقوم هذه الحسابات بتمييز المستودعات الاحتيالية بعلامات "نجمة"، مما يجعلها تبدو شرعية للمستخدمين غير المطلعين.

وقد تقدمت الحملة في أربع موجات مميزة - في 12 سبتمبر و14 سبتمبر و29 سبتمبر و3 أكتوبر 2024 - تستهدف المطورين واللاعبين والمستخدمين العامين. وخلال كل هجوم، يتم نشر ملفات Godot Engine القابلة للتنفيذ (ملفات .PCK) لتثبيت برنامج GodLoader الخبيث. ثم يقوم هذا المحمل باسترداد الحمولات النهائية، مثل RedLine Stealer و XMRig cryptocurrency miner، من مستودع Bitbucket.

تكتيكات التهرب المتقدمة: اكتشاف التهرب

يعود نجاح GodLoader إلى تقنيات التهرب المتقدمة التي يستخدمها. فهو يتجاوز البيئة الافتراضية وتحليلات الحماية، مما يؤدي إلى تعطيل الكشف في بيئات الأمان الخاضعة للرقابة بشكل فعال. وعلاوة على ذلك، يتلاعب البرنامج الخبيث ببرنامج Microsoft Defender Antivirus عن طريق إضافة محرك الأقراص C:\ بالكامل إلى قائمة الاستبعاد، مما يضمن عدم اكتشاف أنشطته على الأنظمة المصابة.

ورغم أن الحملة الحالية تستهدف أجهزة ويندوز، إلا أن الباحثين يحذرون من إمكانية تكييفها بسهولة مع أنظمة ماك أو إس ولينكس. إذ تمكن بنية غودوت غير المرتبطة بمنصة معينة المهاجمين من تطوير حمولات لأنظمة تشغيل متعددة، وهو ما يزيد بشكل كبير من نطاق الحملة وتأثيرها.

إمكانية استغلال أكبر

لقد استخدم المهاجمون في المقام الأول ملفات Godot القابلة للتنفيذ المخصصة لنشر البرامج الضارة. ومع ذلك، يحذر الباحثون من تهديد أعظم: التلاعب بالألعاب المشروعة المصممة بواسطة Godot. من خلال الحصول على مفتاح التشفير المتماثل المستخدم لاستخراج ملفات PCK، يمكن لمجرمي الإنترنت التلاعب بملفات الألعاب الأصلية لتوصيل حمولات ضارة.

إن التحول إلى التشفير باستخدام مفتاح غير متماثل ــ حيث يتم استخدام أزواج المفاتيح العامة والخاصة للتشفير وفك التشفير ــ من شأنه أن يخفف من مثل هذه المخاطر. ومن شأن هذا النهج أن يجعل من الصعب إلى حد كبير على المهاجمين اختراق البرامج المشروعة.

استجابة فريق الأمن في جودو

وفي ضوء هذه النتائج، أكد فريق الأمن في Godot على أهمية تنزيل الملفات القابلة للتنفيذ فقط من مصادر موثوقة. وحثوا المستخدمين على التأكد من توقيع الملفات من قبل جهة ذات سمعة طيبة وتجنب استخدام برامج مقرصنة أو غير موثوقة. وفي حين يمكن استخدام أي لغة برمجة لإنشاء برامج ضارة، فإن قدرات البرمجة النصية في Godot ليست أكثر أو أقل عرضة للإساءة مقارنة بالمنصات المماثلة مثل Python أو Ruby.

التأثيرات الأوسع: الثقة واليقظة

تُعَد حملة GodLoader مثالاً واضحاً على كيفية استغلال المهاجمين للمنصات المشروعة لتجاوز ضوابط الأمان وتوزيع البرامج المهددة. وبفضل بنية Godot التي تتيح توصيل الحمولة بشكل مستقل عن المنصة، يمكن لمجرمي الإنترنت استهداف الأجهزة بكفاءة عبر أنظمة تشغيل مختلفة، بما في ذلك Windows وLinux وmacOS.

لقد أدى الجمع بين شبكة توزيع مستهدفة للغاية وآليات تسليم خفية في الحملة إلى انتشار العدوى على نطاق واسع، مما يجعلها أداة هائلة في ترسانة المهاجمين. هذا الموقف هو تذكير صارخ للمستخدمين بضرورة توخي الحذر وتنزيل البرامج من مصادر موثوقة فقط.

الدعوة إلى تعزيز الأمن السيبراني

مع استمرار حملة GodLoader في الظهور، فإنها بمثابة جرس إنذار لصناعات تطوير البرمجيات والألعاب. إن التدابير الأمنية القوية وأدوات الكشف عن التهديدات عبر الأنظمة الأساسية والتقدم في التشفير ضرورية للتخفيف من مثل هذه المخاطر. ومن خلال إعطاء الأولوية للأمن السيبراني في كل مرحلة - من التطوير إلى النشر - يمكن للصناعة تقليل احتمالية حدوث تهديدات مماثلة تقوض ثقة وسلامة مستخدميها.

الشائع

الأكثر مشاهدة

جار التحميل...