黑客利用新的 GodLoader 惡意軟件,廣泛使用 Godot 遊戲引擎功能,在短短三個月内逃避檢測并感染了 17,000 多個系統。
Check Point Research 在調查攻擊時發現,威脅者可以使用此惡意軟件加載程序來針對所有主要平台(包括 Windows、macOS、Linux、Android 和 iOS)的遊戲玩家。它還利用 Godot 的靈活性及其 GDScript 腳本語言功能來執行任意代碼,并使用遊戲引擎 .pck 文件(打包遊戲資産)繞過檢測系統來嵌入有害腳本。
一旦加載,惡意制作的文件就會觸發受害者設備上的惡意代碼,使攻擊者能夠竊取憑據或下載其他有效負載,包括 XMRig 加密礦工。
該礦工惡意軟件的配置托管在 5 月份上傳的私人 Pastebin 文件中,該文件在整個活動期間被訪問了 206,913 次。
至少自 2024 年 6 月 29 日起,網絡犯罪分子一直在利用 Godot Engine 執行精心設計的 GDScript 代碼,從而觸發惡意命令并傳播惡意軟件。VirusTotal 上的大多數防病毒工具仍未檢測到這種技術,可能僅在短短的時間内就感染了超過 17,000 台計算機。
Godot 擁有一個充滿活力且不斷發展的開發者社區,他們重視其開源性質和強大的功能。超過 2,700 名開發者爲 Godot 遊戲引擎做出了貢獻,而在 Discord、YouTube 和其他社交媒體平台等平台上,Godot 引擎擁有大約 80,000 名關注者,他們可以随時了解最新消息。
攻擊鏈
攻擊者通過 Stargazers Ghost Network 傳播 GodLoader 惡意軟件,這是一種惡意軟件分發即服務 ( DaaS ) ,使用看似合法的 GitHub 存儲庫掩蓋其活動。
2024 年 9 月至 10 月期間,他們使用由超過 225 個 Stargazer Ghost 帳戶控制的 200 多個存儲庫,将惡意軟件部署到目标系統,利用潛在受害者對開源平台和看似合法的軟件存儲庫的信任。
在整個活動過程中,Check Point 在 9 月 12 日至 10 月 3 日期間檢測到針對開發人員和遊戲玩家的四次獨立攻擊浪潮,誘使他們下載受感染的工具和遊戲。
雖然安全研究人員隻發現了針對 Windows 系統的 GodLoader 樣本,但他們還開發了 GDScript 概念驗證漏洞利用代碼,展示了惡意軟件如何輕松地用于攻擊 Linux 和 macOS 系統。
Stargazer Goblin 是這些攻擊中使用的 Stargazers Ghost Network DaaS 平台背後的惡意分子,Check Point 于 2023 年 6 月首次觀察到在暗網上推廣此惡意軟件分發服務。但是,它可能至少從 2022 年 8 月起就一直活躍,自這項服務推出以來,收入超過 100,000 美元。
Stargazers Ghost Network 使用 3,000 多個 GitHub"ghost" 帳戶創建了數百個存儲庫的網絡,這些存儲庫可用于傳播惡意軟件(主要是 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等信息竊取程序)以及 star、fork 和訂閱這些惡意代碼庫,将它們推送到 GitHub 的趨勢部分并增加其明顯的合法性。
随後,Godot Engine 維護者和安全團隊成員發送聲明說:" 該漏洞并非 Godot 特有。 Godot Engine 是一個帶有腳本語言的編程系統。例如,它類似于 Python 和 Ruby 運行時,用任何編程語言都可以編寫惡意程序。"
Godot 不爲 ".pck" 文件注冊文件處理程序。這意味着惡意分子始終必須将 Godot 運行時與 .pck 文件一起發送。用戶始終必須将運行時與 .pck 一起解壓到同一位置,然後執行運行時。除非存在其他操作系統級漏洞,否則惡意分子無法創建 " 一鍵漏洞利用 "。如果使用這樣的操作系統級漏洞,那麽由于運行時的大小,Godot 将不是一個特别有吸引力的選擇。這類似于用 Python 或 Ruby 編寫惡意軟件,惡意分子必須将 python.exe 或 ruby.exe 與其惡意程序一起發送。
