Check Point Researchのセキュリティ研究者は、ゲームエンジン「Godot Engine」を悪用する新たなマルウェアローダー「GodLoader」を発見した。
知らない人のために説明すると、Godot Engine は、2D および 3D ゲーム開発における多用途性で知られる人気のオープンソース ゲーム エンジンです。
ユーザーフレンドリーなインターフェイスと堅牢な機能セットにより、開発者は Windows、macOS、Linux、Android、iOS、HTML5 (Web) などを含むさまざまなプラットフォームにゲームをエクスポートできます。
Python からインスピレーションを得たスクリプト言語 GDScript は、VisualScript と C# のサポートとともに、スキル レベルを問わず開発者の間で人気があります。
2,700 人を超える開発者と約 80,000 人のソーシャル メディア フォロワーからなる活発かつ成長を続けるコミュニティにより、このプラットフォームの人気と献身的なサポートは否定できません。
しかし、このプラットフォームの人気はサイバー犯罪者の標的にもなっており、そのオープンソースの性質を利用して、VirusTotal のほぼすべてのウイルス対策エンジンで検出されずに悪意のあるコマンドやマルウェアを配信しています。
「」というタイトルのレポートで、ゲーム エンジン: マルウェア ローダーの検出されない遊び場研究者らは、GodLoader マルウェアの背後にある脅威アクターが 2024 年 6 月 29 日からこのマルウェアを使用しており、これまでに 17,000 台以上のデバイスを感染させたと考えていると述べています。
特に、これらのペイロードには、2024 年 5 月 10 日にアップロードされたプライベート Pastebin ファイルでホストされていた XMRig などの暗号通貨マイナーが含まれていました。このファイルには、206,913 回アクセスされたキャンペーンに関連する XMRig 構成が含まれていました。
このマルウェアは、Stargazers Ghost Network を介して配布されます。このネットワークは、Distribution-as-Service (DaaS) モデルとして動作し、GitHub リポジトリを介した悪意のあるマルウェアの「正規の」配布を可能にします。
9 月から 10 月にかけて GodLoader を配布するために、約 200 のリポジトリと 225 以上の Stargazer Ghost アカウントが使用されました。
この攻撃は開発者、ゲーマー、一般ユーザーをターゲットに、2024年9月12日、9月14日、9月29日、10月3日にGitHubリポジトリ経由で4回に分けて実行され、感染したツールやゲームをダウンロードするよう誘導した。
「Godot は .pck (パック) ファイルを使用して、スクリプト、シーン、テクスチャ、サウンド、その他のデータなどのゲーム アセットとリソースをバンドルします。ゲームはこれらのファイルを動的にロードできるため、開発者はコア ゲームの実行可能ファイルを変更することなく、アップデート、ダウンロード可能なコンテンツ (DLC)、または追加のゲーム アセットを配布できます。」言った報告書の中で。
「これらのパック ファイルには、ゲーム、画像、オーディオ ファイル、その他の「静的」ファイルに関連する要素が含まれている可能性があります。これらの静的ファイルに加えて、.pck ファイルには GDScript (.gd) で記述されたスクリプトを含めることができます。これらのスクリプトは、組み込みコールバック関数 _ready() を使用して .pck がロードされるときに実行でき、ゲームに新しい機能を追加したり、既存の動作を変更したりすることができます。
「この機能により、追加のマルウェアのダウンロードからリモート ペイロードの実行まで、すべて検出されずに攻撃者に多くの可能性が与えられます。 GDScript は完全な機能を備えた言語であるため、攻撃者はアンチサンドボックス、アンチ仮想マシン対策、リモート ペイロード実行などの多くの機能を備えており、マルウェアを検出されないままにすることができます。」
研究者らは、特に Windows システムをターゲットとする GodLoader サンプルのみを特定しましたが、GDScript を使用した概念実証エクスプロイトも開発し、このマルウェアがいかに簡単に Linux および macOS システムをターゲットに適応できるかを実証しました。
GodLoader のような脅威によってもたらされるリスクを軽減するには、オペレーティング システムとアプリケーションをタイムリーなパッチで常に更新し、未知のソースからのリンクを含む予期しない電子メールやメッセージに注意することが重要です。
さらに、従業員のサイバーセキュリティ意識を高め、疑問がある場合にはセキュリティ専門家に相談することで、潜在的なセキュリティ問題に対する保護を大幅に向上させることができます。
Check Point Research のレポートに応えて、Godot Engine のメンテナでありセキュリティ チームのメンバーである Rémi Verschelde は次の声明を次の宛先に送信しました。ピーピーコンピュータ:
Check Point Research のレポートに記載されているように、この脆弱性は Godot に固有のものではありません。 Godot Engine は、スクリプト言語を備えたプログラミング システムです。これは、たとえば、Python や Ruby のランタイムに似ています。どのプログラミング言語でも悪意のあるプログラムを作成する可能性があります。 Godot が他の同様のプログラムと比べて多かれ少なかれ特に適しているとは考えていません。
Godot ゲームまたはエディタをシステムにインストールしているだけのユーザーは、特に危険にさらされるわけではありません。信頼できるソースからのソフトウェアのみを実行することをお勧めします。
技術的な詳細については、以下をご覧ください。
Godot は、「.pck」ファイルのファイル ハンドラーを登録しません。これは、悪意のある攻撃者は常に Godot ランタイムを .pck ファイルとともに配布する必要があることを意味します。ユーザーは常に、ランタイムを .pck とともに同じ場所に解凍してから、ランタイムを実行する必要があります。他の OS レベルの脆弱性がない限り、悪意のある攻撃者が「ワンクリックエクスプロイト」を作成する方法はありません。このような OS レベルの脆弱性が使用された場合、ランタイムのサイズにより Godot は特に魅力的な選択肢ではなくなります。
これは、Python または Ruby で悪意のあるソフトウェアを作成するのと似ており、悪意のある攻撃者は、悪意のあるプログラムと一緒に python.exe または Ruby.exe を配布する必要があります。
