GodLoader：利用Godot GDScript 运行恶意代码的加载器

关键要点

GodLoader利用免费的开源游戏引擎Godot执行恶意代码，感染超过17000台机器。用户常常被误导下载伪装成正版软件破解的加载器。该攻击利用了Godot的GDScript脚本语言，通过未验证来源分发恶意代码。相关的攻击曾在多个平台Windows、macOS、Linux、Android和iOS上展开。

资料来源 Solarseven / Shutterstock

一种新的恶意软件加载器被称为GodLoader，已被发现在使用免费的开源游戏引擎Godot，作为其运行时来执行恶意代码，并且至少感染了17000台机器。

对神秘的游戏引擎用户而言它支持创建二维和三维游戏并部署在多个平台上，包括Windows、macOS、Linux、Android、iOS和网页浏览器用户常常被误导下载加载器，这些加载器伪装成正版软件的破解版本。

“Check Point Research发现了一种新技术，利用流行的开源游戏引擎Godot Engine执行经过加工的GDScript代码，这些代码触发恶意命令并传播恶意软件，”相关研究人员在博客中表示。“这种技术在VirusTotal上的几乎所有杀毒软件中未被检测到。”

Godot的安全团队也在声明中警告用户相关攻击。

黑洞加速器下载

这次攻击是如何发生的？

此攻击的成功主要归因于被操纵的GDScriptGodot引擎的主要脚本语言可能会通过未验证的来源被用户获取，形式为免费软件。恶意构造的GDScript可以触发恶意命令并传播恶意软件。

研究人员指出，GodLoader的有效载荷托管在Bitbucketorg上，分发于四轮攻击，每次活动都涉及被下载数千次的恶意压缩文件。最初的有效载荷包括RedLine Stealer和XMRig加密货币挖矿程序，攻击者不断改进战术以实现更好的避审。

Godot的安全团队阐明，该引擎并未注册pck文件的文件处理程序，这要求攻击者将Godot运行时 (exe) 与pck文件捆绑在一起，使得“单击漏洞”在没有操作系统级别漏洞的情况下不可能实现。

“恶意的GodLoader通过Stargazers Ghost Network分发，这是一个作为服务分发恶意软件的GitHub网络，”研究人员表示。“在九月和十月，大约200个代码库和超过225个Stargazers被用来使分发恶意软件的代码库看起来合法。”

该技术具备跨多个平台如Windows、macOS、Linux、Android和iOS感染设备的能力。在博客中，研究人员展示了Linux和macOS感染的概念验证PoC。

使用GodLoader传递恶意软件的威胁行为人可以追溯到2024年6月底，在该活动报告前，已经感染了超过17000台机器。

Godot引擎被特别选中传播吗？

CheckPoint研究人员的报告澄清指出，Godot并不特别容易受到此技术的影响。

“如报告所述，该漏洞并不特定于Godot，”Godot安全团队补充道。“Godot引擎是一个编程系统，拥有一种脚本语言。它类似于Python和Ruby运行时。任何编程语言都有可能写出恶意程序。”

该团队强调，他们“不认为Godot特别更适合或不适合这样做，与其他程序相比。”

我们鼓励人们只执行来自可信来源的软件无论是使用Godot还是其他编程系统编写的，团队建议道。