黑客应用新的 GodLoader 坏心软件,宽泛使用 Godot 游戏引擎功能,在短短三个月内走避检测并感染了 17,000 多个系统。
Check Point Research 在考查漏洞时发现,恫吓者不错使用此坏心软件加载智力来针对统共主要平台(包括 Windows、macOS、Linux、Android 和 iOS)的游戏玩家。它还应用 Godot 的生动性偏抓 GDScript 剧本言语功能来履行大肆代码,并使用游戏引擎 .pck 文献(打包游戏金钱)绕过检测系统来镶嵌无益剧本。
一朝加载,坏心制作的文献就会触发受害者诞生上的坏心代码,使漏洞者概况窃取左证或下载其他灵验负载,包括 XMRig 加密矿工。
该矿工坏心软件的建树托管在 5 月份上传的私东谈主 Pastebin 文献中,该文献在统共这个词步履时代被拜谒了 206,913 次。
至少自 2024 年 6 月 29 日起,汇注犯罪分子一直在应用 Godot Engine 履行尽心缠绵的 GDScript 代码,从而触发坏心号令并传播坏心软件。VirusTotal 上的大大批防病毒器用仍未检测到这种时期,可能仅在短短的时期内就感染了普及 17,000 台估量机。
Godot 领有一个充满活力且不断发展的诱导者社区,他们爱重其开源性质和高大的功能。普及 2,700 名诱导者为 Godot 游戏引擎作念出了孝顺,而在 Discord、YouTube 和其他应付媒体平台等平台上,Godot 引擎领有大要 80,000 名关怀者,他们不错随时了解最新音信。
漏洞链
漏洞者通过 Stargazers Ghost Network 传播 GodLoader 坏心软件,这是一种坏心软件分发即处事 ( DaaS ) ,使用看似正当的 GitHub 存储库遮蔽其步履。
2024 年 9 月至 10 月时代,他们使用由普及 225 个 Stargazer Ghost 帐户抵制的 200 多个存储库,将坏心软件部署到主张系统,应用潜在受害者对开源平台和看似正当的软件存储库的信任。
在统共这个词步履经过中,Check Point 在 9 月 12 日至 10 月 3 日历间检测到针对诱导东谈主员和游戏玩家的四次零丁漏洞波浪,诱使他们下载受感染的器用和游戏。
天然安全权略东谈主员只发现了针对 Windows 系统的 GodLoader 样本,但他们还诱导了 GDScript 成见考据破绽应用代码,展示了坏心软件怎样草率地用于漏洞 Linux 和 macOS 系统。
Stargazer Goblin 是这些漏洞中使用的 Stargazers Ghost Network DaaS 平台背后的坏心分子,Check Point 于 2023 年 6 月初度不雅察到在暗网上本质此坏心软件分发处事。可是,它可能至少从 2022 年 8 月起就一直活跃,自这项处事推出以来,收入普及 100,000 好意思元。
Stargazers Ghost Network 使用 3,000 多个 GitHub " ghost "帐户创建了数百个存储库的汇注,这些存储库可用于传播坏心软件(主如果 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等信息窃取智力)以及 star、fork 和订阅这些坏心代码库,将它们推送到 GitHub 的趋势部分并增多其彰着的正当性。
随后,Godot Engine 堤防者和安全团队成员发送声明说:"该破绽并非 Godot 独有。 Godot Engine 是一个带有剧本言语的编程系统。举例,它访佛于 Python 和 Ruby 开动时,用任何编程言语都不错编写坏心智力。"
Godot 不为" .pck "文献注册文献解决智力。这意味着坏心分子永久必须将 Godot 开动时与 .pck 文献一王人发送。用户永久必须将开动时与 .pck 一王人解压到兼并位置,然后履行开动时。除非存在其他操作系统级破绽,不然坏心分子无法创建"一键破绽应用"。如果使用这么的操作系统级破绽,那么由于开动时的大小开云体育(中国)官方网站,Godot 将不是一个十分有诱惑力的接受。这访佛于用 Python 或 Ruby 编写坏心软件,坏心分子必须将 python.exe 或 ruby.exe 与其坏心智力一王人发送。