财经速递-"免费操逼"-黑客滥用免费操逼流行的 Godot 游戏引擎感染数千台电脑

黑客滥用免费操逼流行的 Godot 游戏引擎感染数千台电脑_ZAKER新闻

今年上半年，我国科技创新捷报频传，一系列突破性进展、标志性成果令人振奋：

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。攻击链攻击者通过 Stargazers Ghost Network 传播 GodLoader 恶意软件，这是一种恶意软件分发即服务 ( DaaS ) ，使用看似合法的 GitHub 存储库掩盖其活动。2024 年 9 月至 10 月期间，他们使用由超过 225 个 Stargazer Ghost 帐户控制的 200 多个存储库，将恶意软件部署到目标系统，利用潜在受害者对开源平台和看似合法的软件存储库的信任。在整个活动过程中，Check Point 在 9 月 12 日至 10 月 3 日期间检测到针对开发人员和游戏玩家的四次独立攻击浪潮，诱使他们下载受感染的工具和游戏。虽然安全研究人员只发现了针对 Windows 系统的 GodLoader 样本，但他们还开发了 GDScript 概念验证漏洞利用代码，展示了恶意软件如何轻松地用于攻击 Linux 和 macOS 系统。Stargazer Goblin 是这些攻击中使用的 Stargazers Ghost Network DaaS 平台背后的恶意分子，Check Point 于 2023 年 6 月首次观察到在暗网上推广此恶意软件分发服务。但是，它可能至少从 2022 年 8 月起就一直活跃，自这项服务推出以来，收入超过 100,000 美元。 Stargazers Ghost Network 使用 3,000 多个 GitHub"ghost" 帐户创建了数百个存储库的网络，这些存储库可用于传播恶意软件（主要是 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等信息窃取程序）以及 star、fork 和订阅这些恶意代码库，将它们推送到 GitHub 的趋势部分并增加其明显的合法性。随后，Godot Engine 维护者和安全团队成员发送声明说：" 该漏洞并非 Godot 特有。 Godot Engine 是一个带有脚本语言的编程系统。例如，它类似于 Python 和 Ruby 运行时，用任何编程语言都可以编写恶意程序。"Godot 不为 ".pck" 文件注册文件处理程序。这意味着恶意分子始终必须将 Godot 运行时与 .pck 文件一起发送。用户始终必须将运行时与 .pck 一起解压到同一位置，然后执行运行时。除非存在其他操作系统级漏洞，否则恶意分子无法创建 " 一键漏洞利用 "。如果使用这样的操作系统级漏洞，那么由于运行时的大小，Godot 将不是一个特别有吸引力的选择。这类似于用 Python 或 Ruby 编写恶意软件，恶意分子必须将 python.exe 或 ruby.exe 与其恶意程序一起发送。