Вредоносное ПО GodLoader
Популярный движок Godot Engine с открытым исходным кодом, широко используемый для разработки 2D- и 3D-игр, стал центральным элементом новой киберугрозы, известной как кампания GodLoader. Начиная с июня 2024 года эта опасная кампания скомпрометировала более 17 000 систем, используя возможности скриптинга платформы для выполнения вредоносного кода.
Оглавление
Надежный инструмент, ставший вектором угрозы
Универсальность Godot Engine, поддерживающая разработку на Windows, macOS, Linux, Android, iOS и основных игровых консолях, также сделала его привлекательным инструментом для киберпреступников. Используя гибкость Godot, злоумышленники встраивают поврежденный код GDScript в пользовательские исполняемые файлы для запуска вредоносного ПО, обходя почти все механизмы обнаружения вредоносного ПО. Эта кампания демонстрирует, как доверенные инструменты с открытым исходным кодом могут быть использованы против своих пользователей.
Для 1,2 миллиона человек, которые взаимодействуют с играми, созданными с использованием Godot, последствия выходят за рамки безопасности персональных устройств и могут нанести потенциальный вред более широкой игровой экосистеме. Это подчеркивает срочность принятия разработчиками и отраслью упреждающих мер кибербезопасности на всех платформах.
Как работает GodLoader: многогранная стратегия распространения
Что отличает эту кампанию, так это ее сложное использование GitHub в качестве вектора распространения. Злоумышленники используют Stargazers Ghost Network, которая включает около 200 репозиториев GitHub и более 225 мошеннических аккаунтов. Эти аккаунты «отмечают» мошеннические репозитории, заставляя их казаться законными для ничего не подозревающих пользователей.
Кампания развивалась в четыре отдельных волны — 12 сентября, 14 сентября, 29 сентября и 3 октября 2024 года — нацеленных на разработчиков, геймеров и обычных пользователей. Во время каждой атаки исполняемые файлы Godot Engine (файлы .PCK) развертываются для установки вредоносного ПО GodLoader. Затем этот загрузчик извлекает из репозитория Bitbucket финальные полезные нагрузки, такие как RedLine Stealer и майнер криптовалюты XMRig .
Продвинутая тактика уклонения: обнаружение уклонения
Успех GodLoader объясняется его передовыми методами уклонения. Он обходит виртуальную среду и анализ песочницы, эффективно отключая обнаружение в контролируемых средах безопасности. Кроме того, вредоносная программа манипулирует антивирусом Microsoft Defender, добавляя весь диск C:\ в список исключений, гарантируя, что ее действия останутся незамеченными на зараженных системах.
Хотя текущая кампания нацелена на устройства Windows, исследователи предупреждают, что ее можно легко адаптировать для систем macOS и Linux. Платформонезависимая архитектура Godot позволяет злоумышленникам разрабатывать полезные нагрузки для нескольких операционных систем, что значительно увеличивает охват и воздействие кампании.
Потенциал для большей эксплуатации
Злоумышленники в основном использовали специально созданные исполняемые файлы Godot для распространения вредоносного ПО. Однако исследователи предупреждают о еще большей угрозе: подделке легитимных игр Godot. Получив симметричный ключ шифрования, используемый для извлечения файлов PCK, киберпреступники могут манипулировать подлинными файлами игр для доставки вредоносных полезных нагрузок.
Переход на асимметричную криптографию — где для шифрования и дешифрования используются пары открытого и закрытого ключей — может снизить такие риски. Такой подход значительно усложнит для злоумышленников задачу компрометации легитимного программного обеспечения.
Ответ команды безопасности Godot
В свете этих результатов команда безопасности Godot подчеркнула важность загрузки исполняемых файлов только из надежных источников. Они настоятельно рекомендовали пользователям убедиться, что файлы подписаны авторитетной организацией, и избегать использования взломанного или непроверенного программного обеспечения. Хотя для создания вредоносного ПО можно использовать любой язык программирования, возможности скриптования Godot не более и не менее подвержены злоупотреблениям по сравнению с аналогичными платформами, такими как Python или Ruby.
Более широкие последствия: доверие и бдительность
Кампания GodLoader является примером того, как злоумышленники используют легитимные платформы для обхода контроля безопасности и распространения угрожающего программного обеспечения. Благодаря архитектуре Godot, обеспечивающей независимую от платформы доставку полезной нагрузки, киберпреступники могут эффективно атаковать устройства на различных операционных системах, включая Windows, Linux и macOS.
Сочетание кампании, состоящей из узконаправленной сети распространения и скрытых механизмов доставки, привело к широкому распространению заражений, что сделало ее грозным инструментом в арсенале злоумышленников. Эта ситуация является отрезвляющим напоминанием для пользователей о необходимости проявлять осторожность и загружать программное обеспечение только из проверенных источников.
Призыв к усилению кибербезопасности
Поскольку кампания GodLoader продолжает разворачиваться, она служит тревожным сигналом для индустрии разработки программного обеспечения и игр. Надежные меры безопасности, кроссплатформенные инструменты обнаружения угроз и усовершенствования шифрования имеют решающее значение для снижения таких рисков. Отдавая приоритет кибербезопасности на каждом этапе — от разработки до развертывания — отрасль может снизить вероятность того, что подобные угрозы подорвут доверие и безопасность ее пользователей.
