Les pirates ont utilisé le nouveau malware GodLoader exploitant les capacités du moteur de jeu Godot, largement utilisé, pour échapper à la détection et infecter plus de 17 000 systèmes en seulement trois mois.
Comme Check Point Research l’a découvert en enquêtant sur les attaques, les acteurs malveillants peuvent utiliser ce chargeur de malware pour cibler les joueurs sur toutes les principales plates-formes, notamment Windows, macOS, Linux, Android et iOS.
Il est également utilisé pour exploiter la flexibilité de Godot et ses capacités de langage de script GDScript pour exécuter du code arbitraire et contourner les systèmes de détection à l’aide des fichiers .pck du moteur de jeu, qui regroupent les ressources du jeu, pour intégrer des scripts nuisibles.
Une fois chargés, les fichiers malveillants déclenchent du code malveillant sur les appareils des victimes, permettant aux attaquants de voler des informations d’identification ou de télécharger des charges utiles supplémentaires, notamment le mineur de crypto XMRig. La configuration de ce malware mineur était hébergée sur un fichier Pastebin privé téléchargé en mai, qui a été visité 206 913 fois tout au long de la campagne.
« Depuis au moins le 29 juin 2024, les cybercriminels profitent du moteur Godot pour exécuter du code GDScript contrefait qui déclenche des commandes malveillantes et diffuse des logiciels malveillants. Cette technique est restée indétectée par la plupart des outils antivirus sur VirusTotal, infectant peut-être plus de 17 000 machines en seulement quelques mois, » selon Check Point.
« Godot dispose d’une communauté dynamique et croissante de développeurs qui apprécient sa nature open source et ses puissantes capacités. Plus de 2 700 développeurs ont contribué au moteur de jeu Godot », tandis que « sur des plateformes comme Discord, YouTube et d’autres plateformes de médias sociaux, le moteur Godot compte environ 80 000 abonnés qui restent informés des dernières nouvelles. »
Les attaquants ont diffusé le malware GodLoader via le Stargazers Ghost Network, un malware Distribution-as-a-Service (DaaS) qui masque ses activités à l’aide de référentiels GitHub apparemment légitimes.
Entre septembre et octobre 2024, ils ont utilisé plus de 200 référentiels contrôlés par plus de 225 comptes Stargazer Ghost pour déployer le malware sur les systèmes des cibles, exploitant ainsi la confiance des victimes potentielles dans les plateformes open source et les référentiels de logiciels apparemment légitimes.
Tout au long de la campagne, Check Point a détecté quatre vagues d’attaques distinctes contre des développeurs et des joueurs entre le 12 septembre et le 3 octobre, les incitant à télécharger des outils et des jeux infectés.
Bien que les chercheurs en sécurité n’aient découvert que des échantillons de GodLoader ciblant les systèmes Windows, ils ont également développé un code d’exploitation de validation de principe GDScript montrant avec quelle facilité le malware peut être adapté pour attaquer les systèmes Linux et macOS.
Stargazer Goblin, l’acteur menaçant derrière la plateforme DaaS Stargazers Ghost Network utilisée dans ces attaques, a été observé pour la première fois par Check Point faisant la promotion de ce service de distribution de logiciels malveillants sur le dark web en juin 2023. Cependant, il est probablement actif depuis au moins août 2022, gagnant plus de 100 000 $ depuis le lancement de ce service.
Le Stargazers Ghost Network utilise plus de 3 000 comptes « fantômes » GitHub pour créer des réseaux de centaines de référentiels pouvant être utilisés pour diffuser des logiciels malveillants (principalement des voleurs d’informations comme RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer) et des étoiles, forks et abonnez-vous à ces dépôts malveillants pour les pousser vers la section tendances de GitHub et augmenter leur légitimité apparente.
Mise à jour le 27 novembre à 18 h 19 HNE: Rémi Verschelde, responsable de Godot Engine et membre de l’équipe de sécurité, a envoyé la déclaration suivante après l’heure de publication.
Comme l’indique le rapport de Check Point Research, la vulnérabilité n’est pas spécifique à Godot. Le moteur Godot est un système de programmation doté d’un langage de script. Cela s’apparente, par exemple, aux environnements d’exécution Python et Ruby. Il est possible d’écrire des programmes malveillants dans n’importe quel langage de programmation. Nous ne pensons pas que Godot soit particulièrement plus ou moins adapté pour ce faire que d’autres programmes similaires.
Les utilisateurs qui ont simplement un jeu ou un éditeur Godot installé sur leur système ne courent pas de risque spécifique. Nous encourageons les gens à exécuter uniquement des logiciels provenant de sources fiables.
Pour quelques détails plus techniques :
Godot n’enregistre pas de gestionnaire de fichiers pour les fichiers « .pck ». Cela signifie qu’un acteur malveillant doit toujours expédier le moteur d’exécution Godot avec un fichier .pck. L’utilisateur devra toujours décompresser le runtime avec le .pck au même emplacement, puis exécuter le runtime. Il n’existe aucun moyen pour un acteur malveillant de créer un « exploit en un clic », à l’exception d’autres vulnérabilités au niveau du système d’exploitation. Si une telle vulnérabilité au niveau du système d’exploitation était utilisée, Godot ne serait pas une option particulièrement intéressante en raison de la taille du runtime.
Ceci est similaire à l’écriture d’un logiciel malveillant en Python ou Ruby, l’acteur malveillant devra expédier un python.exe ou ruby.exe avec son programme malveillant.