Хакеры используют популярный игровой движок Godot для распространения вредоносного ПО

Исследователи безопасности из компании Check Point Research обнаружили новый загрузчик вредоносного ПО GodLoader, который использует игровой движок Godot Engine.

Для тех, кто не знает, Godot Engine — это популярный игровой движок с открытым исходным кодом, известный своей универсальностью при разработке 2D- и 3D-игр.

Его удобный интерфейс и надежный набор функций позволяют разработчикам экспортировать игры на различные платформы, включая Windows, macOS, Linux, Android, iOS, HTML5 (Интернет) и другие.

Его язык сценариев GDScript, вдохновленный Python, наряду с поддержкой VisualScript и C#, делает его фаворитом среди разработчиков всех уровней квалификации.

Благодаря активному и растущему сообществу, насчитывающему более 2700 разработчиков и около 80 000 подписчиков в социальных сетях, популярность платформы и ее преданная поддержка неоспоримы.

Однако популярность платформы также сделала ее мишенью для киберпреступников, которые использовали ее открытый исходный код для доставки вредоносных команд и вредоносного ПО, оставаясь при этом незамеченными почти всеми антивирусными механизмами VirusTotal.

В докладе под названием «Игровые движки: необнаруженная площадка для загрузчиков вредоносных программИсследователи утверждают, что, по их мнению, злоумышленник, стоящий за вредоносным ПО GodLoader, использует его с 29 июня 2024 года и на данный момент заразил более 17 000 устройств.

Примечательно, что эти полезные нагрузки включали майнеры криптовалюты, такие как XMRig, которые размещались в частном файле Pastebin, загруженном 10 мая 2024 года. Файл содержал конфигурацию XMRig, связанную с кампанией, которую посетили 206 913 раз.

Вредоносное ПО распространяется через сеть Stargazers Ghost Network, которая работает по модели «Распространение как услуга» (DaaS), что обеспечивает «законное» распространение вредоносного ПО через репозитории GitHub.

В течение сентября и октября для распространения GodLoader было использовано около 200 репозиториев и более 225 учетных записей Stargazer Ghost.

Атаки, нацеленные на разработчиков, геймеров и обычных пользователей, проводились четырьмя волнами через репозитории GitHub 12, 14 сентября, 29 сентября и 3 октября 2024 года, побуждая их загрузить зараженные инструменты и игры.

«Godot использует файлы .pck (pack) для объединения игровых ресурсов и ресурсов, таких как сценарии, сцены, текстуры, звуки и другие данные. Игра может загружать эти файлы динамически, что позволяет разработчикам распространять обновления, загружаемый контент (DLC) или дополнительные игровые ресурсы без изменения основного исполняемого файла игры», — исследователи Check Point. сказал в отчете.

«Эти пакетные файлы могут содержать элементы, связанные с играми, изображениями, аудиофайлами и любыми другими «статическими» файлами. Помимо этих статических файлов, файлы .pck могут включать сценарии, написанные на GDScript (.gd). Эти сценарии могут выполняться при загрузке .pck с помощью встроенной функции обратного вызова _ready(), что позволяет игре добавлять новые функции или изменять существующее поведение.

«Эта функция дает злоумышленникам множество возможностей: от загрузки дополнительных вредоносных программ до удаленного выполнения полезных данных, оставаясь при этом незамеченными. Поскольку GDScript является полнофункциональным языком, у злоумышленников есть множество функций, таких как защита от песочницы, меры защиты от виртуальных машин и удаленное выполнение полезной нагрузки, что позволяет вредоносному ПО оставаться незамеченным».

Хотя исследователи выявили только образцы GodLoader, специально предназначенные для систем Windows, они также разработали экспериментальный эксплойт с использованием GDScript, демонстрирующий, насколько легко можно адаптировать вредоносное ПО для атак на системы Linux и macOS.

Чтобы снизить риски, связанные с такими угрозами, как GodLoader, крайне важно регулярно обновлять операционные системы и приложения, устанавливая своевременные исправления, и проявлять осторожность при работе с неожиданными электронными письмами или сообщениями, содержащими ссылки из неизвестных источников.

Кроме того, повышение осведомленности сотрудников о кибербезопасности и консультации специалистов по безопасности в случае сомнений могут значительно улучшить защиту от потенциальных угроз безопасности.

В ответ на отчет Check Point Research Реми Вершельде, специалист по сопровождению Godot Engine и член группы безопасности, отправил следующее заявление на адрес ПипКомпьютер:

Как говорится в отчете Check Point Research, уязвимость не характерна для Godot. Godot Engine — это система программирования с языком сценариев. Это похоже, например, на среды выполнения Python и Ruby. Вредоносные программы можно писать на любом языке программирования. Мы не считаем, что Godot более или менее подходит для этого, чем другие подобные программы.

Пользователи, у которых в системе установлена ​​только игра или редактор Godot, не подвергаются особому риску. Мы призываем людей использовать программное обеспечение только из надежных источников.

Дополнительные технические подробности:

Godot не регистрирует обработчик файлов «.pck». Это означает, что злоумышленнику всегда приходится поставлять среду выполнения Godot вместе с файлом .pck. Пользователю всегда придется распаковывать среду выполнения вместе с .pck в одно и то же место, а затем запускать среду выполнения. Злоумышленник не может создать «эксплойт одним щелчком мыши», за исключением других уязвимостей на уровне ОС. Если бы использовалась такая уязвимость на уровне ОС, Godot не был бы особенно привлекательным вариантом из-за размера среды выполнения.

Это похоже на написание вредоносного программного обеспечения на Python или Ruby: злоумышленнику придется отправить python.exe или Ruby.exe вместе со своей вредоносной программой.