行業新聞與部落格

Check Point Research 報告了一種利用 Godot 遊戲引擎執行無法檢測的惡意軟體的新型網路攻擊技術。

威脅行為者使用惡意製作的 GDScript 程式碼，透過“GodLoader”部署惡意軟體，繞過了大多數防病毒檢測，並自 2024 年 6 月以來感染了超過 17,000 臺裝置。

Godot 安全團隊在一份宣告中表示：“根據報告，受影響的使用者以為自己正在下載並執行付費軟體的破解程式，但卻執行了惡意軟體載入程式。”

Godot 引擎因製作 2D 和 3D 遊戲而聞名，因其多功能性和跨平臺功能而廣受認可。它允許遊戲開發者將資產和可執行指令碼捆綁到 .pck 檔案中。威脅行為者利用此功能在這些檔案中嵌入惡意 GDScript 程式碼，從而在載入時執行惡意軟體。

GodLoader 的傳播是透過惡意軟體即服務平臺 Stargazers Ghost Network 進行的。2024 年 9 月至 10 月期間，200 個 GitHub 儲存庫被用於傳播受感染的檔案，目標是遊戲玩家、開發者和普通使用者。

這些儲存庫模仿合法的軟體儲存庫，利用 GitHub 的操作來頻繁更新並獲得信譽。

攻擊如何進行

根據 Check Point Research（CPR）週三釋出的新報告，該新技術的亮點如下：

• 惡意 .pck 檔案：威脅行為者將有害指令碼注入 Godot 的 .pck 檔案中，利用其指令碼功能
• 跨平臺潛力：雖然 GodLoader 最初針對的是 Windows，但其設計只需進行少量調整即可在 Linux 和 macOS 上使用
• 逃避策略：該惡意軟體採用沙盒和虛擬機器檢測以及 Microsoft Defender 排除來逃避分析和檢測

值得注意的是，GodLoader 負載託管在 Bitbucket.org 上，並分佈在四波攻擊中。

每次攻擊活動都涉及數千次下載的惡意檔案。初始負載包括 RedLine Stealer 和 XMRig 加密貨幣礦工，威脅行為者不斷改進其策略以實現更大的規避能力。

Godot 的安全團隊表示，遊戲引擎沒有為 .pck 檔案註冊檔案處理程式。這意味著惡意行為者必須始終將 Godot 執行時（.exe 檔案）與 .pck 檔案一起傳送。 

除非存在其他作業系統級漏洞，否則惡意行為者無法建立“一鍵漏洞”。

潛在風險及緩解策略

CPR 專家警告稱，下一階段可能會出現感染合法 Godot 開發的遊戲的情況。

透過替換原始 .pck 檔案或可執行檔案中的部分，攻擊者可以瞄準龐大的玩家群體。雖然尚未觀察到這種情況，但這種情況凸顯了採用強大的加密和非對稱金鑰方法來保護遊戲資料的重要性。

為了降低風險，開發人員還應確保軟體和系統是最新的，對不熟悉的儲存庫和下載保持謹慎，並提高組織內的網路安全意識。

Godot 安全團隊在一份宣告中表示：“僅在系統上安裝了 Godot 遊戲或編輯器的使用者不會面臨特別的風險。我們鼓勵人們只執行來自可信來源的軟體——無論它是使用 Godot 還是任何其他程式設計系統編寫的。”

他們補充道：“我們感謝 Check Point Research 遵循負責任披露的安全指南，這讓我們確認，這種攻擊媒介雖然令人遺憾，但並非 Godot 所特有，不會暴露引擎或其使用者的漏洞。”