GodLoader 맬웨어
2D 및 3D 게임 개발에 널리 사용되는 도구인 인기 있는 오픈소스 Godot Engine이 GodLoader 캠페인으로 알려진 새로운 사이버 위협의 중심이 되었습니다. 적어도 2024년 6월 이후로 이 위협적인 캠페인은 플랫폼의 스크립팅 기능을 악용하여 유해한 코드를 실행함으로써 17,000개 이상의 시스템을 손상시켰습니다.
목차
신뢰할 수 있는 도구가 위협 벡터로 전환됨
Godot Engine의 다재다능함은 Windows, macOS, Linux, Android, iOS 및 주요 게임 콘솔에서 개발을 지원하여 사이버 범죄자들에게 매력적인 도구가 되었습니다. 공격자는 Godot의 유연성을 활용하여 손상된 GDScript 코드를 사용자 지정 실행 파일에 임베드하여 맬웨어를 실행하고 거의 모든 맬웨어 방지 탐지 메커니즘을 우회합니다. 이 캠페인은 신뢰할 수 있는 오픈소스 도구가 사용자를 상대로 무기화될 수 있는 방법을 강조합니다.
Godot를 사용하여 만든 게임과 상호 작용하는 120만 명의 개인에게 그 의미는 개인 기기 보안을 넘어 더 광범위한 게임 생태계에 대한 잠재적 피해로 확장됩니다. 이는 개발자와 업계가 플랫폼 전반에 걸쳐 사전 예방적 사이버 보안 조치를 채택해야 할 시급성을 강조합니다.
GodLoader의 운영 방식: 다각적인 유통 전략
이 캠페인을 차별화하는 것은 GitHub을 배포 벡터로 정교하게 사용한다는 것입니다. 공격자는 약 200개의 GitHub 저장소와 225개 이상의 사기 계정을 포함하는 Stargazers Ghost Network를 사용합니다. 이러한 계정은 사기 저장소에 '별표'를 표시하여 의심하지 않는 사용자에게 합법적인 것처럼 보이게 합니다.
이 캠페인은 2024년 9월 12일, 9월 14일, 9월 29일, 10월 3일의 4개 웨이브로 진행되었으며, 개발자, 게이머, 일반 사용자를 대상으로 했습니다. 각 공격 중에 Godot Engine 실행 파일(.PCK 파일)이 배포되어 GodLoader 맬웨어를 설치합니다. 그런 다음 이 로더는 RedLine Stealer 및 XMRig 암호화폐 마이너와 같은 최종 페이로드를 Bitbucket 저장소에서 검색합니다.
고급 회피 전술: 탐지 회피
GodLoader의 성공은 고급 회피 기술에 기인합니다. 가상 환경과 샌드박스 분석을 우회하여 통제된 보안 환경에서 탐지를 효과적으로 비활성화합니다. 또한 이 맬웨어는 C:\ 드라이브 전체를 제외 목록에 추가하여 Microsoft Defender Antivirus를 조작하여 감염된 시스템에서 활동이 탐지되지 않도록 합니다.
현재 캠페인은 Windows 기기를 대상으로 하지만, 연구자들은 macOS와 Linux 시스템에 쉽게 적용될 수 있다고 경고합니다. Godot의 플랫폼 독립적인 아키텍처는 공격자가 여러 운영 체제에 대한 페이로드를 개발할 수 있게 하여 캠페인의 도달 범위와 영향력을 크게 증가시킵니다.
더 큰 착취의 잠재력
공격자는 주로 맞춤형 Godot 실행 파일을 사용하여 맬웨어를 전파했습니다. 그러나 연구자들은 훨씬 더 큰 위협, 즉 합법적인 Godot 제작 게임을 변조하는 것에 대해 경고합니다. 사이버 범죄자는 PCK 파일을 추출하는 데 사용되는 대칭 암호화 키를 얻음으로써 진짜 게임 파일을 조작하여 악성 페이로드를 전달할 수 있습니다.
비대칭 키 암호화(공개 키와 개인 키 쌍이 암호화 및 복호화에 사용됨)로 전환하면 이러한 위험을 완화할 수 있습니다. 이 접근 방식은 공격자가 합법적인 소프트웨어를 손상시키는 것을 상당히 어렵게 만들 것입니다.
Godot 보안팀의 대응
이러한 발견에 따라 Godot 보안팀은 신뢰할 수 있는 출처에서만 실행 파일을 다운로드하는 것의 중요성을 강조했습니다. 그들은 사용자에게 평판이 좋은 기관에서 서명한 파일을 사용하고 크랙되거나 검증되지 않은 소프트웨어를 사용하지 않도록 촉구했습니다. 어떤 프로그래밍 언어든 악성 소프트웨어를 만드는 데 사용할 수 있지만 Godot의 스크립팅 기능은 Python이나 Ruby와 같은 유사한 플랫폼과 비교했을 때 남용에 더 취약하거나 덜 취약하지 않습니다.
더 광범위한 의미: 신뢰와 경계
GodLoader 캠페인은 공격자가 합법적인 플랫폼을 악용하여 보안 제어를 우회하고 위협적인 소프트웨어를 배포하는 방법을 보여줍니다. Godot의 아키텍처는 플랫폼 독립적인 페이로드 전달을 가능하게 하여 사이버 범죄자는 Windows, Linux, macOS를 포함한 다양한 운영 체제에서 효율적으로 장치를 타겟팅할 수 있습니다.
캠페인은 매우 타겟팅된 유통망과 은밀한 전달 메커니즘을 결합하여 광범위한 감염을 초래했으며, 공격자의 무기고에서 강력한 도구가 되었습니다. 이 상황은 사용자에게 주의를 기울이고 검증된 출처에서만 소프트웨어를 다운로드하라는 엄중한 경고입니다.
더 강력한 사이버 보안에 대한 요구
GodLoader 캠페인이 계속 전개되면서 소프트웨어 개발 및 게임 산업에 경종을 울리고 있습니다. 강력한 보안 조치, 크로스 플랫폼 위협 탐지 도구, 암호화 발전은 이러한 위험을 완화하는 데 필수적입니다. 개발에서 배포까지 모든 단계에서 사이버 보안을 우선시함으로써 이 산업은 유사한 위협이 사용자의 신뢰와 안전을 훼손할 가능성을 줄일 수 있습니다.
