行业新闻与博客

Check Point Research 报告了一种利用 Godot 游戏引擎执行无法检测的恶意软件的新型网络攻击技术。

威胁行为者使用恶意制作的 GDScript 代码，通过“GodLoader”部署恶意软件，绕过了大多数防病毒检测，并自 2024 年 6 月以来感染了超过 17,000 台设备。

Godot 安全团队在一份声明中表示：“根据报告，受影响的用户以为自己正在下载并执行付费软件的破解程序，但却执行了恶意软件加载程序。”

Godot 引擎因制作 2D 和 3D 游戏而闻名，因其多功能性和跨平台功能而广受认可。它允许游戏开发者将资产和可执行脚本捆绑到 .pck 文件中。威胁行为者利用此功能在这些文件中嵌入恶意 GDScript 代码，从而在加载时执行恶意软件。

GodLoader 的传播是通过恶意软件即服务平台 Stargazers Ghost Network 进行的。2024 年 9 月至 10 月期间，200 个 GitHub 存储库被用于传播受感染的文件，目标是游戏玩家、开发者和普通用户。

这些存储库模仿合法的软件存储库，利用 GitHub 的操作来频繁更新并获得信誉。

攻击如何进行

根据 Check Point Research（CPR）周三发布的新报告，该新技术的亮点如下：

• 恶意 .pck 文件：威胁行为者将有害脚本注入 Godot 的 .pck 文件中，利用其脚本功能
• 跨平台潜力：虽然 GodLoader 最初针对的是 Windows，但其设计只需进行少量调整即可在 Linux 和 macOS 上使用
• 逃避策略：该恶意软件采用沙盒和虚拟机检测以及 Microsoft Defender 排除来逃避分析和检测

值得注意的是，GodLoader 负载托管在 Bitbucket.org 上，并分布在四波攻击中。

每次攻击活动都涉及数千次下载的恶意档案。初始负载包括 RedLine Stealer 和 XMRig 加密货币矿工，威胁行为者不断改进其策略以实现更大的规避能力。

Godot 的安全团队表示，游戏引擎没有为 .pck 文件注册文件处理程序。这意味着恶意行为者必须始终将 Godot 运行时（.exe 文件）与 .pck 文件一起发送。 

除非存在其他操作系统级漏洞，否则恶意行为者无法创建“一键漏洞”。

潜在风险及缓解策略

CPR 专家警告称，下一阶段可能会出现感染合法 Godot 开发的游戏的情况。

通过替换原始 .pck 文件或可执行文件中的部分，攻击者可以瞄准庞大的玩家群体。虽然尚未观察到这种情况，但这种情况凸显了采用强大的加密和非对称密钥方法来保护游戏数据的重要性。

为了降低风险，开发人员还应确保软件和系统是最新的，对不熟悉的存储库和下载保持谨慎，并提高组织内的网络安全意识。

Godot 安全团队在一份声明中表示：“仅在系统上安装了 Godot 游戏或编辑器的用户不会面临特别的风险。我们鼓励人们只执行来自可信来源的软件——无论它是使用 Godot 还是任何其他编程系统编写的。”

他们补充道：“我们感谢 Check Point Research 遵循负责任披露的安全指南，这让我们确认，这种攻击媒介虽然令人遗憾，但并非 Godot 所特有，不会暴露引擎或其用户的漏洞。”