Oprogramowanie złośliwe GodLoader
Popularny silnik Godot Engine o otwartym kodzie źródłowym, narzędzie szeroko stosowane do tworzenia gier 2D i 3D, stał się centralnym punktem nowego cyberzagrożenia znanego jako kampania GodLoader. Od co najmniej czerwca 2024 r. ta groźna kampania naruszyła bezpieczeństwo ponad 17 000 systemów, wykorzystując możliwości skryptowania platformy do wykonywania szkodliwego kodu.
Spis treści
Zaufane narzędzie stało się wektorem zagrożenia
Wszechstronność Godot Engine, obsługująca rozwój w systemach Windows, macOS, Linux, Android, iOS i znaczących konsolach do gier, uczyniła go również atrakcyjnym narzędziem dla cyberprzestępców. Wykorzystując elastyczność Godot, atakujący osadzają uszkodzony kod GDScript w niestandardowych plikach wykonywalnych, aby uruchamiać złośliwe oprogramowanie, omijając niemal wszystkie mechanizmy wykrywania złośliwego oprogramowania. Ta kampania podkreśla, w jaki sposób zaufane narzędzia typu open source mogą być wykorzystywane przeciwko ich użytkownikom.
Dla 1,2 miliona osób, które wchodzą w interakcję z grami stworzonymi przy użyciu Godot, implikacje wykraczają poza bezpieczeństwo urządzeń osobistych, obejmując potencjalne szkody dla szerszego ekosystemu gier. Podkreśla to pilną potrzebę, aby deweloperzy i branża przyjęli proaktywne środki cyberbezpieczeństwa na wszystkich platformach.
Jak działa GodLoader: wieloaspektowa strategia dystrybucji
Cechą wyróżniającą tę kampanię jest wyrafinowane wykorzystanie GitHub jako wektora dystrybucji. Atakujący wykorzystują Stargazers Ghost Network, który obejmuje około 200 repozytoriów GitHub i ponad 225 fałszywych kont. Te konta „oznaczają” fałszywe repozytoria gwiazdkami, sprawiając, że wydają się one legalne dla niczego niepodejrzewających użytkowników.
Kampania przebiegała w czterech odrębnych falach — 12 września, 14 września, 29 września i 3 października 2024 r. — wymierzona w deweloperów, graczy i zwykłych użytkowników. Podczas każdego ataku wdrażane są pliki wykonywalne Godot Engine (pliki .PCK), aby zainstalować złośliwe oprogramowanie GodLoader. Następnie ten program ładujący pobiera ostateczne ładunki, takie jak RedLine Stealer i koparka kryptowalut XMRig , z repozytorium Bitbucket.
Zaawansowane taktyki unikania: Wykrywanie unikania
Sukces GodLoadera przypisuje się jego zaawansowanym technikom unikania. Omija on analizę środowiska wirtualnego i piaskownicy, skutecznie wyłączając wykrywanie w kontrolowanych środowiskach bezpieczeństwa. Ponadto złośliwe oprogramowanie manipuluje programem antywirusowym Microsoft Defender, dodając cały dysk C:\ do listy wykluczeń, zapewniając, że jego działania pozostaną niewykryte w zainfekowanych systemach.
Chociaż obecna kampania jest skierowana do urządzeń z systemem Windows, badacze ostrzegają, że można ją łatwo dostosować do systemów macOS i Linux. Architektura Godot niezależna od platformy umożliwia atakującym tworzenie ładunków dla wielu systemów operacyjnych, co znacznie zwiększa zasięg i wpływ kampanii.
Potencjał większego wykorzystania
Atakujący używali przede wszystkim plików wykonywalnych Godot stworzonych na zamówienie, aby rozprzestrzeniać złośliwe oprogramowanie. Jednak badacze ostrzegają przed jeszcze większym zagrożeniem: manipulacją przy legalnych grach stworzonych w Godot. Uzyskując klucz szyfrowania symetrycznego używany do wyodrębniania plików PCK, cyberprzestępcy mogliby manipulować autentycznymi plikami gry, aby dostarczać złośliwe ładunki.
Przejście na kryptografię asymetryczną — gdzie pary kluczy publicznych i prywatnych są używane do szyfrowania i deszyfrowania — mogłoby złagodzić takie ryzyko. Takie podejście znacznie utrudniłoby atakującym złamanie zabezpieczeń legalnego oprogramowania.
Odpowiedź zespołu ds. bezpieczeństwa Godot
W świetle tych ustaleń Godot Security Team podkreślił znaczenie pobierania plików wykonywalnych wyłącznie ze sprawdzonych źródeł. Apelowali do użytkowników, aby upewnili się, że pliki są podpisane przez renomowany podmiot i unikali używania zhakowanego lub niezweryfikowanego oprogramowania. Podczas gdy każdy język programowania może być użyty do tworzenia złośliwego oprogramowania, możliwości skryptowe Godot nie są ani bardziej, ani mniej podatne na nadużycia w porównaniu z podobnymi platformami, takimi jak Python czy Ruby.
Szersze implikacje: zaufanie i czujność
Kampania GodLoader pokazuje, jak atakujący wykorzystują legalne platformy do omijania kontroli bezpieczeństwa i dystrybucji groźnego oprogramowania. Dzięki architekturze Godot umożliwiającej niezależne od platformy dostarczanie ładunku cyberprzestępcy mogą skutecznie atakować urządzenia w różnych systemach operacyjnych, w tym Windows, Linux i macOS.
Połączenie wysoce ukierunkowanej sieci dystrybucji i ukrytych mechanizmów dostarczania w kampanii doprowadziło do powszechnych infekcji, co czyni ją potężnym narzędziem w arsenale atakujących. Ta sytuacja jest dla użytkowników trzeźwiącym przypomnieniem, aby zachowali ostrożność i pobierali oprogramowanie wyłącznie ze zweryfikowanych źródeł.
Wezwanie do silniejszego cyberbezpieczeństwa
W miarę rozwoju kampanii GodLoader służy ona jako sygnał ostrzegawczy dla branży rozwoju oprogramowania i gier. Solidne środki bezpieczeństwa, narzędzia do wykrywania zagrożeń międzyplatformowych i postęp w szyfrowaniu są niezbędne do złagodzenia takich zagrożeń. Priorytetowo traktując cyberbezpieczeństwo na każdym etapie — od rozwoju do wdrożenia — branża może zmniejszyć prawdopodobieństwo, że podobne zagrożenia podważą zaufanie i bezpieczeństwo jej użytkowników.
