fitA
黑客利用广泛使用的 Godot 游戏引擎的功能,开发了新的 GodLoader 恶意软件,以逃避检测并在短短三个月内感染了超过 17,000 台系统。
Check Point Research 在调查攻击时发现,威胁行为者可以使用这种恶意软件加载器针对所有主流平台的游戏玩家,包括 Windows、macOS、Linux、Android 和 iOS。
它还用于利用 Godot 的灵活性和其 GDScript 脚本语言功能来执行任意代码,并使用游戏引擎.pck 文件(用于打包游戏资源)来嵌入恶意脚本,从而绕过检测系统。
一旦加载,恶意构建的文件会在受害者设备上触发恶意代码,使攻击者能够窃取凭证或下载额外的有效载荷,包括 XMRig 加密货币挖掘器。该恶意软件的配置存储在 5 月份上传到私人 Pastebin 的文件上,在整个活动中被访问了 206,913 次。
自 2024 年 6 月 29 日起,网络犯罪分子一直在利用 Godot 引擎执行精心制作的 GDScript 代码,触发恶意命令并传播恶意软件。这种技术一直未被 VirusTotal 上的大多数杀毒工具检测到,可能在短短几个月内感染了超过 17,000 台机器,”据 Check Point 报道。
Godot 拥有一个充满活力且不断壮大的开发者社区,他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献,而在 Discord、YouTube 和其他社交媒体平台上,Godot 引擎拥有大约 80,000 名关注者,他们关注最新的新闻。
攻击者通过 Stargazers Ghost 网络分发 GodLoader 恶意软件,这是一个使用看似合法的 GitHub 存储库来掩盖其活动的恶意软件即服务(DaaS)。
2024 年 9 月至 10 月间,他们利用 225 个 Stargazer Ghost 账号控制的 200 多个仓库,将恶意软件部署到目标系统,利用潜在受害者对开源平台和看似合法的软件仓库的信任。
在整个活动中,Check Point 在 9 月 12 日至 10 月 3 日期间检测到针对开发者和玩家的四次独立攻击浪潮,诱使他们下载受感染的工具和游戏。
尽管安全研究人员仅发现了针对 Windows 系统的 GodLoader 样本,但他们还开发了 GDScript 概念验证利用代码,展示了恶意软件如何轻易地被适配以攻击 Linux 和 macOS 系统。
星探哥布林,这些攻击背后使用的星探幽灵网络 DaaS 平台背后的威胁行为者,首次被 Check Point 在 2023 年 6 月观察到在暗网上推广这种恶意软件分发服务。然而,它可能自 2022 年 8 月起就已经活跃,自该服务推出以来已赚取超过 10 万美元。
星盘幽灵网络使用超过 3000 个 GitHub“幽灵”账户创建数百个仓库网络,这些仓库可用于分发恶意软件(主要是像 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 这样的信息窃取软件),并关注、分叉和订阅这些恶意仓库,以将它们推送到 GitHub 的趋势部分,并增加它们的表面合法性。
更新于 11 月 27 日 18:19 EST:Godot 引擎维护者和安全团队成员 Rémi Verschelde 在发布后发送了以下声明。
根据 Check Point Research 报告,该漏洞并非特定于 Godot。Godot 引擎是一种具有脚本语言的编程系统。它类似于,例如,Python 和 Ruby 运行时。任何编程语言都可以编写恶意程序。我们不认为 Godot 比其他类似程序更适合或更不适合这样做。
用户仅在其系统上安装了 Godot 游戏或编辑器,并不特别处于风险之中。我们鼓励人们只从可信来源执行软件。
关于一些更技术性的细节:
Godot 没有为”.pck”文件注册文件处理器。这意味着恶意行为者必须始终与.pck 文件一起分发 Godot 运行时。用户必须始终将运行时与.pck 文件解压缩到同一位置,然后执行运行时。恶意行为者无法创建“一键式漏洞”,除非存在其他操作系统级别的漏洞。如果使用这样的操作系统级别的漏洞,由于运行时的大小,Godot 可能不是一个特别吸引人的选择。
这是类似于用 Python 或 Ruby 编写恶意软件,恶意行为者必须将 python.exe 或 ruby.exe 与其恶意程序一起发送。
