GodLoader 恶意软件
流行的开源 Godot Engine 是一种广泛用于开发 2D 和 3D 游戏的工具,现已成为新网络威胁 GodLoader 活动的核心。自 2024 年 6 月以来,这一威胁活动已利用该平台的脚本功能执行有害代码,入侵了超过 17,000 个系统。
目录
可信工具沦为威胁媒介
Godot Engine 的多功能性支持跨 Windows、macOS、Linux、Android、iOS 和主要游戏机进行开发,这也使其成为网络犯罪分子眼中极具吸引力的工具。通过利用 Godot 的灵活性,攻击者可以将损坏的 GDScript 代码嵌入自定义可执行文件中以启动恶意软件,从而绕过几乎所有反恶意软件检测机制。此活动突出了如何利用受信任的开源工具来对付其用户。
对于使用 Godot 开发的游戏进行互动的 120 万个人来说,其影响不仅限于个人设备安全,还可能对更广泛的游戏生态系统造成危害。这凸显了开发者和行业在各个平台上采取主动网络安全措施的紧迫性。
GodLoader 的运作方式:多方面的分销策略
此次攻击活动的独特之处在于它巧妙地利用了 GitHub 作为分发媒介。攻击者利用 Stargazers Ghost Network,其中包括大约 200 个 GitHub 存储库和超过 225 个欺诈账户。这些账户为欺诈存储库添加“星号”,让它们在毫无戒心的用户眼中看起来是合法的。
该活动已分四波进行,分别于 2024 年 9 月 12 日、9 月 14 日、9 月 29 日和 10 月 3 日发起,针对开发者、游戏玩家和普通用户。在每次攻击中,都会部署 Godot Engine 可执行文件 (.PCK 文件) 来安装 GodLoader 恶意软件。然后,该加载程序会从 Bitbucket 存储库中检索最终的有效负载,例如RedLine Stealer和XMRig加密货币挖矿机。
高级逃避策略:躲避检测
GodLoader 的成功归功于其先进的逃避技术。它绕过了虚拟环境和沙盒分析,有效地禁用了受控安全环境中的检测。此外,该恶意软件通过将整个 C:\ 驱动器添加到排除列表来操纵 Microsoft Defender Antivirus,确保其活动在受感染的系统上不被发现。
尽管当前的攻击活动针对的是 Windows 设备,但研究人员警告称,该攻击活动很容易适应 macOS 和 Linux 系统。Godot 的平台无关架构使攻击者能够为多种操作系统开发有效载荷,从而大大增加了攻击活动的覆盖范围和影响力。
可能遭受更大程度的剥削
攻击者主要使用定制的 Godot 可执行文件来传播恶意软件。然而,研究人员警告称,还有更大的威胁:篡改合法的 Godot 游戏。通过获取用于提取 PCK 文件的对称加密密钥,网络犯罪分子可以操纵真实的游戏文件来传递恶意负载。
改用非对称密钥加密技术(即使用公钥和私钥对进行加密和解密)可以降低此类风险。这种方法将大大增加攻击者入侵合法软件的难度。
Godot 安全团队的回应
鉴于这些发现,Godot 安全团队强调了仅从可信来源下载可执行文件的重要性。他们敦促用户确保文件由信誉良好的实体签名,并避免使用破解或未经验证的软件。虽然任何编程语言都可用于创建恶意软件,但与 Python 或 Ruby 等类似平台相比,Godot 的脚本功能既不会更容易被滥用,也不会更容易被滥用。
更广泛的影响:信任与警惕
GodLoader 活动展示了攻击者如何利用合法平台绕过安全控制并分发威胁软件。借助 Godot 的架构实现独立于平台的有效负载交付,网络犯罪分子可以有效地针对各种操作系统(包括 Windows、Linux 和 macOS)的设备。
此次攻击活动结合了高度针对性的分发网络和隐秘的交付机制,导致感染范围广泛,使其成为攻击者的强大武器。这种情况提醒用户要谨慎行事,只从经过验证的来源下载软件。
呼吁加强网络安全
GodLoader 活动的持续展开,为软件开发和游戏行业敲响了警钟。强大的安全措施、跨平台威胁检测工具和加密技术进步对于缓解此类风险至关重要。通过在从开发到部署的每个阶段优先考虑网络安全,该行业可以降低类似威胁破坏用户信任和安全的可能性。
