GodLoader 惡意軟體

受歡迎的開源 Godot 引擎是一種廣泛用於開發 2D 和 3D 遊戲的工具，已成為名為 GodLoader 活動的新型網路威脅的核心。至少自 2024 年 6 月以來，這項威脅活動透過利用平台的腳本功能執行有害程式碼，已經危害了 17,000 多個系統。

受信任的工具變成了威脅媒介

Godot Engine 的多功能性，支援跨 Windows、macOS、Linux、Android、iOS 和重要遊戲機的開發，也使其成為對網路犯罪分子有吸引力的工具。透過利用 Godot 的靈活性，攻擊者將損壞的 GDScript 程式碼嵌入到自訂執行檔中以啟動惡意軟體，繞過幾乎所有反惡意軟體偵測機制。該活動強調了可信的開源工具如何被武器化來攻擊其用戶。

對於與使用 Godot 構建的遊戲互動的 120 萬人來說，其影響不僅限於個人設備安全，還可能對更廣泛的遊戲生態系統造成危害。它強調了開發者和產業跨平台採取主動網路安全措施的迫切性。

GodLoader 如何運作：多方面的分銷策略

活動的獨特之處在於它巧妙地使用 GitHub 作為分發媒介。攻擊者使用 Stargazers Ghost Network，其中包括大約 200 個 GitHub 儲存庫和超過 225 個詐騙帳號。這些帳戶為欺詐性儲存庫“加註星標”，使它們對毫無戒心的用戶來說顯得合法。

活動已分四波進行，分別於 2024 年 9 月 12 日、9 月 14 日、9 月 29 日和 10 月 3 日，針對開發者、遊戲玩家和一般使用者。在每次攻擊期間，都會部署 Godot Engine 可執行檔（.PCK 檔案）來安裝 GodLoader 惡意軟體。然後，該載入程式從 Bitbucket 儲存庫檢索最終的有效負載，例如RedLine Stealer和XMRig加密貨幣礦工。

進階規避策略：躲避偵測

GodLoader 的成功歸功於其先進的規避技術。它繞過虛擬環境和沙箱分析，有效地停用受控安全環境中的偵測。此外，該惡意軟體透過將整個 C:\ 磁碟機新增至排除清單來操縱 Microsoft Defender Antivirus，確保其活動在受感染的系統上不被偵測到。

儘管目前的活動針對的是 Windows 設備，但研究人員警告說，它可以輕鬆適應 macOS 和 Linux 系統。 Godot 的平台無關架構使攻擊者能夠為多個作業系統開發有效負載，從而顯著擴大攻擊活動的範圍和影響。

更大開發潛力

攻擊者主要使用自訂的 Godot 執行檔來傳播惡意軟體。然而，研究人員警告說，存在更大的威脅：篡改合法的戈多構建的遊戲。透過取得用於提取 PCK 檔案的對稱加密金鑰，網路犯罪分子可以操縱真實的遊戲檔案來傳遞惡意負載。

改用非對稱金鑰加密技術（使用公鑰和私鑰對進行加密和解密）可以減輕此類風險。這種方法將使攻擊者更難破壞合法軟體。

Godot 安全團隊的回應

根據這些發現，Godot 安全團隊強調了僅從可信任來源下載可執行檔的重要性。他們敦促用戶確保文件由信譽良好的實體簽名，並避免使用破解或未經驗證的軟體。雖然任何程式語言都可以用來創建惡意軟體，但與 Python 或 Ruby 等類似平台相比，Godot 的腳本功能既不會更容易被濫用，也不會更容易被濫用。

更廣泛的影響：信任與警惕

GodLoader 活動舉例說明了攻擊者如何利用合法平台繞過安全控制並分發威脅軟體。透過 Godot 的架構實現獨立於平台的有效負載傳輸，網路犯罪分子可以有效地針對各種作業系統（包括 Windows、Linux 和 macOS）的裝置。

該活動結合了高度針對性的分發網路和隱密的傳送機制，導致了廣泛的感染，使其成為攻擊者武器庫中的強大工具。這種情況提醒用戶謹慎行事，僅從經過驗證的來源下載軟體。

呼籲加強網路安全

隨著 GodLoader 活動的不斷展開，它為軟體開發和遊戲產業敲響了警鐘。強大的安全措施、跨平台威脅偵測工具和加密技術進步對於減輕此類風險至關重要。透過在從開發到部署的每個階段優先考慮網路安全，業界可以減少類似威脅破壞用戶信任和安全的可能性。