Godot 引擎遭到入侵:通过 GodLoader 分发的恶意软件

科技   2024-12-02 17:39   广东  

Check Point Research 发现,Godot 游戏引擎(一种流行的开源游戏开发工具)被滥用为传播恶意软件的平台。这种新技术被称为 GodLoader,它揭示了网络犯罪分子如何利用合法软件逃避检测并在多个平台上传播恶意负载。

Godot Engine 以其多功能性和在游戏开发中的广泛使用而闻名,它提供了一个与平台无关的环境,支持导出到 Windows、macOS、Linux、Android、iOS 等。不幸的是,这些相同的功能使其成为攻击者的诱人目标。Check Point在其报告中指出:“威胁行为者利用 Godot 引擎和 GDScript,它们使用这种新技术执行恶意代码、下载恶意软件并在未被发现的情况下部署它。”

GodLoader 利用 Godot 的 .pck 文件(用于捆绑游戏资源,如脚本、纹理和声音)引入恶意 GDScript 代码。该技术利用 Godot 动态加载这些文件的能力,这些文件可能包含更新或可下载内容。攻击者精心设计这些文件,使其包含恶意脚本,这些脚本在执行时会触发有害操作。

报告解释道:“ Pack 文件可以单独传输,也可以在可执行文件中分段传输。虽然恶意代码的主要演化发生在 .pck 文件中,但在后期,攻击者还试图提高规避级别并加密 .pck 文件”

GodLoader 通过 Stargazers Ghost Network 进行分发,这是一个基于 GitHub 的恶意软件即服务操作。自 2024 年 6 月开始的这场活动中,已发现 200 多个存储库。这些存储库被设计成看起来合法,并由“stargazers”和 GitHub 机器人支持,以提高其可见性。这种欺骗性策略已经感染了超过 17,000 个系统。

GodLoader 最令人担忧的方面之一是其跨平台覆盖范围。Check Point 研究人员最初针对 Windows,但展示了针对 macOS 和 Linux 的概念验证攻击。他们指出,“这种新技术允许威胁行为者跨多个平台(例如 Windows、macOS、Linux、Android 和 iOS)瞄准和感染设备。”

示例包括逃避沙箱并部署有效载荷的脚本:

  • Linux Payloads:使用系统wget和chmod工具下载并执行脚本。

  • macOS Payloads:使用系统命令部署和运行payload的方法类似,例如在演示中打开计算器应用程序。

展望未来,攻击者可能会将注意力扩展到 Godot 开发的合法游戏。通过替换 .pck 文件或将恶意脚本注入合法游戏,攻击者可以利用围绕 Godot 引擎建立的信任。研究人员警告说:“‘感染者’可能会用恶意文件替换 .pck 部分内容。”



感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里

Ots安全
持续发展共享方向:威胁情报、漏洞情报、恶意分析、渗透技术(工具)等,不会回复任何私信,感谢关注。
 最新文章