Check Point Research发现网络犯罪分子利用流行的Godot游戏引擎来传播恶意软件。了解攻击者使用的技术以及如何保护自己免受这些威胁。

Check Point Research(CPR)发布了其最新研究成果，该研究针对一种新型多平台技术，网络犯罪分子利用该技术绕过传统安全措施，利用流行的开源游戏引擎Godot来投放一种新发现的名为GodLoader的恶意负载。

令人担忧的是GodLoader的跨平台功能，使其在macOS、Windows、Linux、iOS和Android上都有效。虽然它设计为针对Windows，但只需进行少量调整即可在Linux和macOS上使用。据报道，该恶意软件通过GitHub上的Stargazers Ghost Network分发，在2024年9月至10月期间使用了200多个存储库和225个帐户。

研究人员在博客文章中指出：“该恶意软件背后的威胁行为者自2024年6月29日起就开始使用它，感染了超过17000台机器”，一次攻击可能会使120万Godot开发的游戏用户面临风险。

根据CPR的研究，网络犯罪分子利用Godot脚本语言GDScript的灵活性，将恶意代码嵌入游戏资产中，并在游戏启动时执行。这是一种隐秘的方法，使攻击者能够绕过防病毒检测并入侵系统而不会引起警报。

进一步调查显示，它使用沙盒和虚拟机检测以及Microsoft Defender排除来避免检测。该恶意软件托管在Bitbucket.org上，并分布在四波攻击中，初始负载包括RedLine Stealer和XMRig加密货币矿工。

Godot是一款功能强大的游戏开发工具，允许开发者将游戏资产和脚本捆绑到.pck文件中，其中包含游戏的资源，包括图像、声音和脚本。通过将恶意GDScript代码注入这些.pck文件，攻击者可以诱骗游戏引擎执行有害命令。

一旦游戏加载受感染的.pck文件，隐藏的脚本就会开始运行，下载并将额外的恶意软件负载部署到受害者的设备上。

作为回应，Godot Engine开发团队发表了一份声明，解释称GodLoader并没有利用Godot本身的特定弱点，因为与任何编程语言(例如Python或Ruby)一样，Godot也允许创建好程序和坏程序。尽管该恶意软件利用Godot的脚本语言(GDScript)来传递其有效载荷，但这并不意味着Godot本身就不安全。

该团队还指出，这不是一键攻击，因为GodLoader恶意软件会诱骗用户下载/执行看似无害的文件(通常是伪装成软件破解的.pck文件)。该文件本身无法工作，攻击者还必须单独提供Godot运行时(.exe文件)才能成功。这意味着用户必须采取多个步骤来安装恶意软件，因此不太可能是一键攻击。

尽管如此，Godot团队强调了良好的安全习惯以及从受信任的来源(如官方网站、成熟的分发平台或受信任的个人)下载的重要性。Windows和macOS用户应检查可执行文件是否由受信任方签名和公证，并避免使用破解软件，因为它是恶意行为者的常见目标。