Phần mềm độc hại GodLoader

Godot Engine mã nguồn mở phổ biến, một công cụ được sử dụng rộng rãi để phát triển trò chơi 2D và 3D, đã trở thành trung tâm của một mối đe dọa mạng mới được gọi là chiến dịch GodLoader. Kể từ ít nhất tháng 6 năm 2024, chiến dịch đe dọa này đã xâm phạm hơn 17.000 hệ thống bằng cách khai thác khả năng viết kịch bản của nền tảng để thực thi mã độc hại.

Một công cụ đáng tin cậy đã trở thành mối đe dọa

Tính linh hoạt của Godot Engine, hỗ trợ phát triển trên Windows, macOS, Linux, Android, iOS và các máy chơi game quan trọng, cũng khiến nó trở thành một công cụ hấp dẫn đối với tội phạm mạng. Bằng cách tận dụng tính linh hoạt của Godot, kẻ tấn công nhúng mã GDScript bị hỏng vào các tệp thực thi tùy chỉnh để khởi chạy phần mềm độc hại, bỏ qua hầu hết mọi cơ chế phát hiện phần mềm chống phần mềm độc hại. Chiến dịch này nêu bật cách các công cụ nguồn mở đáng tin cậy có thể bị lợi dụng để chống lại người dùng của chúng.

Đối với 1,2 triệu cá nhân tương tác với các trò chơi được xây dựng bằng Godot, những tác động vượt ra ngoài phạm vi bảo mật thiết bị cá nhân đến khả năng gây hại cho hệ sinh thái trò chơi rộng lớn hơn. Điều này nhấn mạnh tính cấp thiết đối với các nhà phát triển và ngành công nghiệp trong việc áp dụng các biện pháp an ninh mạng chủ động trên nhiều nền tảng.

GodLoader hoạt động như thế nào: Một chiến lược phân phối đa diện

Điều khiến chiến dịch này trở nên khác biệt là việc sử dụng GitHub một cách tinh vi như một vectơ phân phối. Những kẻ tấn công sử dụng Stargazers Ghost Network, bao gồm khoảng 200 kho lưu trữ GitHub và hơn 225 tài khoản gian lận. Những tài khoản này 'đánh dấu' các kho lưu trữ gian lận, khiến chúng có vẻ hợp pháp đối với những người dùng không nghi ngờ.

Chiến dịch đã tiến triển theo bốn đợt riêng biệt—vào ngày 12 tháng 9, ngày 14 tháng 9, ngày 29 tháng 9 và ngày 3 tháng 10 năm 2024—nhắm mục tiêu đến các nhà phát triển, game thủ và người dùng nói chung. Trong mỗi cuộc tấn công, các tệp thực thi Godot Engine (tệp .PCK) được triển khai để cài đặt phần mềm độc hại GodLoader. Sau đó, trình tải này sẽ truy xuất các tải trọng cuối cùng, chẳng hạn như RedLine Stealer và trình khai thác tiền điện tử XMRig , từ kho lưu trữ Bitbucket.

Chiến thuật né tránh nâng cao: Tránh bị phát hiện

Thành công của GodLoader là nhờ vào các kỹ thuật né tránh tiên tiến của nó. Nó bỏ qua môi trường ảo và phân tích hộp cát, vô hiệu hóa hiệu quả việc phát hiện trong các môi trường bảo mật được kiểm soát. Hơn nữa, phần mềm độc hại này còn thao túng Microsoft Defender Antivirus bằng cách thêm toàn bộ ổ đĩa C:\ vào danh sách loại trừ, đảm bảo các hoạt động của nó vẫn không bị phát hiện trên các hệ thống bị nhiễm.

Mặc dù chiến dịch hiện tại nhắm vào các thiết bị Windows, các nhà nghiên cứu cảnh báo rằng nó có thể dễ dàng được điều chỉnh cho các hệ thống macOS và Linux. Kiến trúc không phụ thuộc vào nền tảng của Godot cho phép kẻ tấn công phát triển các tải trọng cho nhiều hệ điều hành, làm tăng đáng kể phạm vi và tác động của chiến dịch.

Tiềm năng khai thác lớn hơn

Những kẻ tấn công chủ yếu sử dụng các tệp thực thi Godot tùy chỉnh để phát tán phần mềm độc hại. Tuy nhiên, các nhà nghiên cứu cảnh báo về một mối đe dọa thậm chí còn lớn hơn: can thiệp vào các trò chơi Godot hợp pháp. Bằng cách lấy được khóa mã hóa đối xứng được sử dụng để trích xuất các tệp PCK, tội phạm mạng có thể thao túng các tệp trò chơi xác thực để phân phối các phần mềm độc hại.

Chuyển sang mật mã khóa bất đối xứng—trong đó cặp khóa công khai và riêng tư được sử dụng để mã hóa và giải mã—có thể giảm thiểu những rủi ro như vậy. Cách tiếp cận này sẽ khiến kẻ tấn công khó xâm phạm phần mềm hợp pháp hơn đáng kể.

Phản hồi của nhóm bảo mật Godot

Dựa trên những phát hiện này, Nhóm bảo mật Godot nhấn mạnh tầm quan trọng của việc chỉ tải xuống các tệp thực thi từ các nguồn đáng tin cậy. Họ thúc giục người dùng đảm bảo các tệp được ký bởi một thực thể có uy tín và tránh sử dụng phần mềm đã bẻ khóa hoặc chưa được xác minh. Mặc dù bất kỳ ngôn ngữ lập trình nào cũng có thể được sử dụng để tạo phần mềm độc hại, nhưng khả năng tạo tập lệnh của Godot không dễ bị lạm dụng hơn hoặc kém hơn so với các nền tảng tương tự như Python hoặc Ruby.

Ý nghĩa rộng hơn: Niềm tin và sự cảnh giác

Chiến dịch GodLoader minh họa cách kẻ tấn công khai thác các nền tảng hợp pháp để vượt qua các biện pháp kiểm soát bảo mật và phân phối phần mềm đe dọa. Với kiến trúc của Godot cho phép phân phối tải trọng độc lập với nền tảng, tội phạm mạng có thể nhắm mục tiêu hiệu quả vào các thiết bị trên nhiều hệ điều hành khác nhau, bao gồm Windows, Linux và macOS.

Sự kết hợp của chiến dịch này giữa mạng lưới phân phối có mục tiêu cao và cơ chế phân phối bí mật đã dẫn đến tình trạng lây nhiễm trên diện rộng, khiến nó trở thành công cụ đáng gờm trong kho vũ khí của kẻ tấn công. Tình huống này là lời nhắc nhở nghiêm túc cho người dùng rằng hãy thận trọng và chỉ tải xuống phần mềm từ các nguồn đã được xác minh.

Lời kêu gọi tăng cường an ninh mạng

Khi chiến dịch GodLoader tiếp tục diễn ra, nó đóng vai trò như một lời cảnh tỉnh cho ngành phát triển phần mềm và trò chơi điện tử. Các biện pháp bảo mật mạnh mẽ, công cụ phát hiện mối đe dọa đa nền tảng và những tiến bộ về mã hóa là điều cần thiết để giảm thiểu những rủi ro như vậy. Bằng cách ưu tiên an ninh mạng ở mọi giai đoạn—từ phát triển đến triển khai—ngành công nghiệp này có thể giảm khả năng xảy ra các mối đe dọa tương tự làm suy yếu lòng tin và sự an toàn của người dùng.