Зловреден софтуер GodLoader
Популярният Godot Engine с отворен код, широко използван инструмент за разработване на 2D и 3D игри, се превърна в центъра на нова кибер заплаха, известна като кампанията GodLoader. Най-малко от юни 2024 г. тази заплашителна кампания е компрометирала над 17 000 системи чрез използване на възможностите за скриптове на платформата за изпълнение на вреден код.
Съдържание
Доверен инструмент, превърнал се във вектор на заплаха
Гъвкавостта на Godot Engine, поддържаща разработка в Windows, macOS, Linux, Android, iOS и значителни конзоли за игри, също го направи привлекателен инструмент за киберпрестъпниците. Използвайки гъвкавостта на Godot, нападателите вграждат повреден GDScript код в персонализирани изпълними файлове, за да стартират зловреден софтуер, заобикаляйки почти всички механизми за откриване на зловреден софтуер. Тази кампания подчертава как надеждните инструменти с отворен код могат да бъдат въоръжени срещу техните потребители.
За 1,2 милиона индивида, които взаимодействат с игри, създадени с Godot, последиците се простират отвъд сигурността на личните устройства до потенциална вреда за по-широката екосистема на игрите. Той подчертава неотложната необходимост за разработчиците и индустрията да приемат проактивни мерки за киберсигурност във всички платформи.
Как работи GodLoader: Многостранна стратегия за разпространение
Това, което отличава тази кампания, е нейното усъвършенствано използване на GitHub като вектор за разпространение. Нападателите използват мрежата Stargazers Ghost, която включва приблизително 200 хранилища на GitHub и над 225 измамни акаунта. Тези акаунти показват „звездата“ на измамните хранилища, което ги кара да изглеждат легитимни за нищо неподозиращите потребители.
Кампанията напредна в четири отделни вълни – на 12 септември, 14 септември, 29 септември и 3 октомври 2024 г. – насочени към разработчици, геймъри и обикновени потребители. По време на всяка атака изпълнимите файлове на Godot Engine (.PCK файлове) се внедряват, за да инсталират злонамерения софтуер GodLoader. Този товарач след това извлича окончателни полезни натоварвания, като например RedLine Stealer и XMRig копач на криптовалута, от хранилище на Bitbucket.
Усъвършенствани тактики за избягване: Откриване на избягване
Успехът на GodLoader се дължи на неговите усъвършенствани техники за избягване. Той заобикаля виртуалната среда и анализа на пясъчника, като ефективно деактивира откриването в контролирани среди за сигурност. Освен това злонамереният софтуер манипулира Microsoft Defender Antivirus, като добавя цялото устройство C:\ към списъка за изключване, като гарантира, че неговите дейности остават неоткрити в заразените системи.
Въпреки че настоящата кампания е насочена към устройства с Windows, изследователите предупреждават, че тя може лесно да се адаптира за macOS и Linux системи. Платформено-агностичната архитектура на Godot позволява на атакуващите да разработват полезни натоварвания за множество операционни системи, което значително увеличава обхвата и въздействието на кампанията.
Потенциал за по-голяма експлоатация
Нападателите са използвали основно създадени по поръчка изпълними файлове на Godot за разпространение на зловреден софтуер. Изследователите обаче предупреждават за още по-голяма заплаха: подправяне на легитимни игри, създадени от Godot. Чрез получаване на симетричен ключ за криптиране, използван за извличане на PCK файлове, киберпрестъпниците могат да манипулират автентични файлове на игри, за да доставят злонамерени полезни товари.
Преминаването към криптография с асиметричен ключ – където се използват двойки публичен и частен ключ за криптиране и декриптиране – може да смекчи подобни рискове. Този подход ще направи значително по-трудно за нападателите да компрометират легитимен софтуер.
Отговорът на екипа по сигурността на Godot
В светлината на тези открития екипът по сигурността на Godot подчерта важността на изтеглянето на изпълними файлове само от надеждни източници. Те призоваха потребителите да гарантират, че файловете са подписани от уважаван субект и да избягват използването на кракнат или непроверен софтуер. Докато всеки език за програмиране може да се използва за създаване на злонамерен софтуер, възможностите за скриптове на Godot не са нито повече, нито по-малко податливи на злоупотреба в сравнение с подобни платформи като Python или Ruby.
По-широки последици: доверие и бдителност
Кампанията GodLoader илюстрира как нападателите експлоатират легитимни платформи, за да заобиколят контролите за сигурност и да разпространяват заплашителен софтуер. С архитектурата на Godot, позволяваща независимо от платформата доставяне на полезен товар, киберпрестъпниците могат ефективно да се насочват към устройства в различни операционни системи, включително Windows, Linux и macOS.
Комбинацията на кампанията от силно насочена мрежа за разпространение и скрити механизми за доставка доведе до широко разпространени инфекции, което я прави страхотен инструмент в арсенала на нападателите. Тази ситуация е отрезвяващо напомняне за потребителите да бъдат внимателни и да изтеглят софтуер само от проверени източници.
Призивът за по-силна киберсигурност
Тъй като кампанията GodLoader продължава да се развива, тя служи като сигнал за събуждане за индустрията за разработка на софтуер и игри. Стабилните мерки за сигурност, инструментите за откриване на заплахи между платформи и подобренията в криптирането са от съществено значение за смекчаване на подобни рискове. Като дава приоритет на киберсигурността на всеки етап – от разработката до внедряването – индустрията може да намали вероятността подобни заплахи да подкопаят доверието и безопасността на нейните потребители.
