行業新聞與博客

Check Point Research 報告了一種利用 Godot 遊戲引擎執行無法檢測的惡意軟件的新型網絡攻擊技術。

威脅行為者使用惡意製作的 GDScript 代碼，通過“GodLoader”部署惡意軟件，繞過了大多數防病毒檢測，並自 2024 年 6 月以來感染了超過 17,000 台設備。

Godot 安全團隊在一份聲明中表示：“根據報告，受影響的用户以為自己正在下載並執行付費軟件的破解程序，但卻執行了惡意軟件加載程序。”

Godot 引擎因製作 2D 和 3D 遊戲而聞名，因其多功能性和跨平台功能而廣受認可。它允許遊戲開發者將資產和可執行腳本捆綁到 .pck 文件中。威脅行為者利用此功能在這些文件中嵌入惡意 GDScript 代碼，從而在加載時執行惡意軟件。

GodLoader 的傳播是通過惡意軟件即服務平台 Stargazers Ghost Network 進行的。2024 年 9 月至 10 月期間，200 個 GitHub 存儲庫被用於傳播受感染的文件，目標是遊戲玩家、開發者和普通用户。

這些存儲庫模仿合法的軟件存儲庫，利用 GitHub 的操作來頻繁更新並獲得信譽。

攻擊如何進行

根據 Check Point Research（CPR）週三發佈的新報告，該新技術的亮點如下：

• 惡意 .pck 文件：威脅行為者將有害腳本注入 Godot 的 .pck 文件中，利用其腳本功能
• 跨平台潛力：雖然 GodLoader 最初針對的是 Windows，但其設計只需進行少量調整即可在 Linux 和 macOS 上使用
• 逃避策略：該惡意軟件採用沙盒和虛擬機檢測以及 Microsoft Defender 排除來逃避分析和檢測

值得注意的是，GodLoader 負載託管在 Bitbucket.org 上，並分佈在四波攻擊中。

每次攻擊活動都涉及數千次下載的惡意檔案。初始負載包括 RedLine Stealer 和 XMRig 加密貨幣礦工，威脅行為者不斷改進其策略以實現更大的規避能力。

Godot 的安全團隊表示，遊戲引擎沒有為 .pck 文件註冊文件處理程序。這意味着惡意行為者必須始終將 Godot 運行時（.exe 文件）與 .pck 文件一起發送。 

除非存在其他操作系統級漏洞，否則惡意行為者無法創建“一鍵漏洞”。

潛在風險及緩解策略

CPR 專家警告稱，下一階段可能會出現感染合法 Godot 開發的遊戲的情況。

通過替換原始 .pck 文件或可執行文件中的部分，攻擊者可以瞄準龐大的玩家羣體。雖然尚未觀察到這種情況，但這種情況凸顯了採用強大的加密和非對稱密鑰方法來保護遊戲數據的重要性。

為了降低風險，開發人員還應確保軟件和系統是最新的，對不熟悉的存儲庫和下載保持謹慎，並提高組織內的網絡安全意識。

Godot 安全團隊在一份聲明中表示：“僅在系統上安裝了 Godot 遊戲或編輯器的用户不會面臨特別的風險。我們鼓勵人們只執行來自可信來源的軟件——無論它是使用 Godot 還是任何其他編程系統編寫的。”

他們補充道：“我們感謝 Check Point Research 遵循負責任披露的安全指南，這讓我們確認，這種攻擊媒介雖然令人遺憾，但並非 Godot 所特有，不會暴露引擎或其用户的漏洞。”