Check Point Research ha segnalato una nuova tecnica di attacco informatico che sfrutta il Godot Gaming Engine per eseguire malware non rilevabili.
Check Point afferma che da fine giugno 2024, i truffatori hanno creato codice dannoso scritto in GDscript (il linguaggio di scripting simile a Python di Godot) facendo appello a circa 200 repository GitHub e oltre 220 account Stargazer Ghost, che ospitavano un malware chiamato GodLoader.
In una dichiarazione, il team di sicurezza di Godot ha affermato: “In base al rapporto, gli utenti interessati pensavano di scaricare ed eseguire crack per software a pagamento, ma invece hanno eseguito il malware loader”.
Infostealer e cryptojacker
Il Godot Engine, ampiamente noto per la creazione di giochi 2D e 3D, è riconosciuto per la sua versatilità e capacità multipiattaforma. Consente agli sviluppatori di giochi di raggruppare risorse e script eseguibili in file .pck. Gli autori delle minacce hanno sfruttato questa funzionalità incorporando codice GDscript dannoso in questi file, consentendo l’esecuzione del malware quando caricato.
La distribuzione di GodLoader è avvenuta tramite Stargazers Ghost Network, una piattaforma malware-as-a-service. Tra settembre e ottobre 2024, sono stati utilizzati 200 repository GitHub per distribuire file infetti, prendendo di mira giocatori, sviluppatori e utenti generici.
I repository imitavano repository software legittimi, sfruttando le azioni di GitHub per apparire frequentemente aggiornati e ottenere credibilità.
In particolare, i payload di GodLoader erano ospitati su Bitbucket.org e distribuiti in quattro ondate di attacchi.
Ogni campagna ha coinvolto archivi dannosi scaricati migliaia di volte. I payload iniziali includevano RedLine Stealer e i miner di criptovaluta XMRig, con gli autori delle minacce che evolvevano continuamente le loro tattiche per una maggiore evasione.
Il team di sicurezza di Godot ha affermato che Gaming Engine non registra un gestore di file per i file .pck. Ciò significa che un malintenzionato deve sempre spedire il runtime di Godot (file .exe) insieme a un file .pck.
Non c’è modo per un malintenzionato di creare un “exploit con un clic”, a meno di altre vulnerabilità a livello di sistema operativo.
Potenziali rischi e strategie di mitigazione
Sostituendo i file .pck originali o le sezioni all’interno degli eseguibili, gli aggressori potrebbero prendere di mira una vasta base di giocatori. Sebbene non ancora osservato, questo scenario sottolinea la necessità di metodi di crittografia e chiave asimmetrica robusti per proteggere i dati di gioco.
Poiché GodLoader non è ancora stato segnalato dalla maggior parte dei programmi antivirus, è essenziale rimanere vigili in questo momento e fare attenzione quando si ha a che fare con contenuti correlati a Godot.
Per ridurre i rischi, gli sviluppatori dovrebbero anche assicurarsi che software e sistemi siano aggiornati, prestare attenzione a repository e download non familiari e aumentare la consapevolezza della sicurezza informatica all’interno delle organizzazioni.
In una dichiarazione, il team di sicurezza di Godot ha affermato: “Gli utenti che hanno semplicemente un gioco o un editor Godot installato sul loro sistema non sono specificamente a rischio. Incoraggiamo le persone a eseguire software solo da fonti attendibili, che siano scritti utilizzando Godot o qualsiasi altro sistema di programmazione”.
Hanno aggiunto: “Ringraziamo Check Point Research per aver seguito le linee guida di sicurezza della divulgazione responsabile, che ci hanno permesso di confermare che questo vettore di attacco, sebbene sfortunato, non è specifico di Godot e non espone una vulnerabilità nel motore o per i suoi utenti”.
