Зловмисне програмне забезпечення GodLoader
Популярний движок Godot Engine з відкритим вихідним кодом, інструмент, який широко використовується для розробки 2D і 3D ігор, став центром нової кіберзагрози, відомої як кампанія GodLoader. Принаймні з червня 2024 року ця погрозлива кампанія скомпрометувала понад 17 000 систем, використовуючи можливості сценаріїв платформи для виконання шкідливого коду.
Зміст
Надійний інструмент став вектором загроз
Універсальність Godot Engine, яка підтримує розробку на Windows, macOS, Linux, Android, iOS і важливих ігрових консолях, також зробила його привабливим інструментом для кіберзлочинців. Використовуючи гнучкість Godot, зловмисники вбудовують пошкоджений код GDScript у спеціальні виконувані файли для запуску зловмисного програмного забезпечення, минаючи майже всі механізми виявлення зловмисного програмного забезпечення. Ця кампанія підкреслює, як надійні інструменти з відкритим вихідним кодом можуть бути використані проти їхніх користувачів.
Для 1,2 мільйона людей, які взаємодіють з іграми, створеними за допомогою Godot, наслідки виходять за межі безпеки персональних пристроїв і потенційно можуть завдати шкоди ширшій ігровій екосистемі. Це підкреслює необхідність для розробників і галузі вжити проактивних заходів кібербезпеки на всіх платформах.
Як працює GodLoader: багатогранна стратегія розповсюдження
Що відрізняє цю кампанію від інших, так це її продумане використання GitHub як вектора розповсюдження. Зловмисники використовують мережу Stargazers Ghost, яка включає приблизно 200 сховищ GitHub і понад 225 шахрайських облікових записів. Ці облікові записи є «зірками» шахрайських сховищ, завдяки чому вони виглядають легітимними для нічого не підозрюючих користувачів.
Кампанія проходила в чотири окремі хвилі — 12 вересня, 14 вересня, 29 вересня та 3 жовтня 2024 року — націлена на розробників, геймерів і звичайних користувачів. Під час кожної атаки виконувані файли Godot Engine (файли .PCK) розгортаються для встановлення шкідливого програмного забезпечення GodotLoader. Потім цей завантажувач отримує кінцеві корисні навантаження, такі як RedLine Stealer і майнер криптовалюти XMRig , зі сховища Bitbucket.
Розширена тактика ухилення: виявлення ухилення
Успіх GodLoader пояснюється його передовими методами ухилення. Він обходить віртуальне середовище та аналіз пісочниці, фактично вимикаючи виявлення в контрольованих середовищах безпеки. Крім того, зловмисне програмне забезпечення маніпулює Microsoft Defender Antivirus, додаючи весь диск C:\ до списку виключень, гарантуючи, що його дії залишаються непоміченими в заражених системах.
Хоча поточна кампанія націлена на пристрої Windows, дослідники попереджають, що її можна легко адаптувати для систем macOS і Linux. Незалежна від платформи архітектура Godot дозволяє зловмисникам розробляти корисні навантаження для кількох операційних систем, значно збільшуючи охоплення та вплив кампанії.
Потенціал для більшої експлуатації
Зловмисники в основному використовували спеціально створені виконувані файли Godot для поширення шкідливого програмного забезпечення. Однак дослідники попереджають про ще більшу загрозу: втручання в законні ігри, створені Годо. Отримавши симетричний ключ шифрування, який використовується для видобування PCK-файлів, кіберзлочинці могли маніпулювати автентичними ігровими файлами для доставки зловмисного корисного навантаження.
Перехід на криптографію з асиметричним ключем, де для шифрування та дешифрування використовуються пари відкритих і закритих ключів, міг би зменшити такі ризики. Такий підхід значно ускладнить зловмисникам скомпрометувати законне програмне забезпечення.
Відповідь служби безпеки Godot
У світлі цих висновків команда безпеки Godot підкреслила важливість завантаження виконуваних файлів лише з надійних джерел. Вони закликали користувачів переконатися, що файли підписані авторитетною організацією, і уникати використання зламаного або неперевіреного програмного забезпечення. Незважаючи на те, що будь-яка мова програмування може бути використана для створення шкідливого програмного забезпечення, можливості написання сценаріїв Godot ні більше, ні менш сприйнятливі до зловживань порівняно з аналогічними платформами, такими як Python або Ruby.
Більш широкі наслідки: довіра та пильність
Кампанія GodLoader є прикладом того, як зловмисники використовують законні платформи, щоб обійти контроль безпеки та розповсюдити загрозливе програмне забезпечення. Завдяки архітектурі Godot, що забезпечує незалежну від платформи доставку корисного навантаження, кіберзлочинці можуть ефективно атакувати пристрої в різних операційних системах, включаючи Windows, Linux і macOS.
Поєднання в цій кампанії високоцільової мережі розповсюдження та механізмів прихованої доставки призвело до масового зараження, що зробило її потужним інструментом в арсеналі зловмисників. Ця ситуація є протверезним нагадуванням користувачам бути обережними та завантажувати програмне забезпечення лише з перевірених джерел.
Заклик до посилення кібербезпеки
Оскільки кампанія GodLoader продовжує розгортатися, вона слугує тривожним дзвіночком для індустрії розробки програмного забезпечення та ігор. Надійні заходи безпеки, кросплатформні інструменти виявлення загроз і вдосконалення шифрування є важливими для пом’якшення таких ризиків. Приділяючи пріоритет кібербезпеці на кожному етапі — від розробки до розгортання — галузь може зменшити ймовірність того, що подібні загрози підривають довіру та безпеку користувачів.
