Специалисты компании Check Point обнаружили новую серьезную киберугрозу — вредоносное ПО GodLoader, которое использует популярный игровой движок Godot Engine для проведения масштабных атак. За три месяца вредоносной программе удалось заразить более 17 000 компьютерных систем, что вызывает серьезную обеспокоенность экспертов по кибербезопасности.
Механизм работы GodLoader и масштабы угрозы
Злоумышленники искусно эксплуатируют гибкость Godot Engine и возможности скриптового языка GDScript для выполнения вредоносного кода. Основной механизм атаки заключается во внедрении малвари в файлы формата .pck, которые обычно используются для хранения игровых ресурсов. При запуске зараженных файлов активируется вредоносный код, позволяющий хакерам похищать конфиденциальные данные и устанавливать дополнительное вредоносное ПО.
Распространение через Stargazers Ghost Network
Для распространения GodLoader киберпреступники использовали сеть Stargazers Ghost Network, маскируя вредоносную активность под легитимные репозитории на GitHub. В период с сентября по октябрь 2024 года было задействовано более 200 репозиториев, контролируемых 225 учетными записями. Check Point зафиксировала четыре масштабные волны атак, направленных на разработчиков и геймеров.
Кроссплатформенная угроза
Хотя текущие образцы GodLoader нацелены преимущественно на системы Windows, исследователи продемонстрировали возможность адаптации вредоноса для атак на Linux и macOS. Эксперты подчеркивают, что популярность Godot Engine среди разработчиков (более 2700 контрибьюторов) и обширное сообщество (около 80 000 подписчиков) делают эту платформу привлекательной целью для киберпреступников.
Последствия и варианты защиты
В ходе атак злоумышленники успешно распространяли различные вредоносные программы, включая стилер RedLine и криптомайнер XMRig. Особую опасность представляет способность GodLoader обходить большинство антивирусных решений. По мнению экспертов Check Point, это создает серьезную угрозу для более чем 1,2 миллиона пользователей игр, разработанных на Godot Engine.
Реми Вершельде, представитель команды безопасности Godot Engine, подчеркивает, что прямой уязвимости в движке нет, однако рекомендует пользователям проявлять осторожность и загружать программное обеспечение только из проверенных источников. Для защиты от подобных угроз критически важно использовать современные решения безопасности и тщательно проверять происхождение загружаемых файлов.
