Nawet 1,2 miliona graczy może być zagrożonych za sprawą wykorzystania przez cyberprzestępców skryptów opensourcowego silnika gier komputerowych – ostrzegają analitycy bezpieczeństwa cybernetycznego Check Point Research. Do tej pory zainfekowano ponad 17 tys. urządzeń. Efektem akcji hakerskiej mogą być poważne wycieki danych oraz dalsze ataki ransomware.
Najnowsze badania Check Point Research ujawniły nowy, niepokojący trend, wykorzystania silników gier – w szczególności ich skryptów – przez hakerów. Popularny silnik opensource Godot Engine został zaatakowany przez cyberprzestępców, którzy używali skryptów „GodLoader” do przeprowadzania kradzieży danych i wdrażania ransomware. Działania te doprowadziły już do zainfekowania ponad 17 000 urządzeń, co stawia pod znakiem zapytania bezpieczeństwo 1,2 miliona użytkowników gier opartych na Godot.
Jak cyberprzestępcy wykorzystują Godot Engine?
Godot Engine to otwartoźródłowa platforma do tworzenia gier, ceniona za elastyczność i bogaty zestaw narzędzi. Wspiera ona różne formaty eksportu, umożliwiając twórcom docieranie do platform takich jak Windows, macOS, Linux, Android, iOS czy HTML5. Dzięki przyjaznemu interfejsowi i językowi GDScript, przypominającemu Pythona, Godot przyciąga zarówno początkujących, jak i zaawansowanych deweloperów. Niestety, właśnie ta popularność stała się celem cyberprzestępców.
Atak polega na wykorzystaniu funkcjonalności skryptów Godota. Złośliwe oprogramowanie, nazwane GodLoader, pozostaje niewykrywalne przez większość tradycyjnych rozwiązań antywirusowych. Wbudowana funkcja ładowania plików .pck umożliwia uruchamianie złośliwego kodu za pomocą skryptu GDScript. Daje to napastnikom szerokie możliwości, od pobierania dodatkowego złośliwego oprogramowania po zdalne wykonywanie poleceń.
Od czerwca 2024 roku technika GodLoader zdołała ominąć mechanizmy wykrywania, infekując w ciągu trzech miesięcy ponad 17 000 maszyn. Dodatkowo, dzięki swojej wieloplatformowości, zagrożenie to dotyczy także systemów Android i innych środowisk.
Złośliwy kod jest rozpowszechniany przez Stargazers Ghost Network – zaawansowaną infrastrukturę „Distribution as a Service” (DaaS). Przestępcy wykorzystują pozornie legalne repozytoria na GitHubie, co tworzy iluzję wiarygodności. W okresie od września do października 2024 roku aż 200 repozytoriów zawierających GodLoadera pojawiło się na tej platformie, co skutkowało szybkim wzrostem liczby infekcji – poinformowali stojący za odkryciem eksperci z Check Pointa.
Konsekwencje dla deweloperów i graczy
Dla twórców gier korzystających z otwartych platform, takich jak Godot, ryzyko przypadkowego wdrożenia złośliwego kodu jest realnym zagrożeniem. Z kolei gracze mogą nieświadomie instalować gry zawierające zainfekowane elementy. Strategia dystrybucji oparta na budowaniu zaufania do otwartego oprogramowania dodatkowo zwiększa skuteczność tego typu ataków.
– Elastyczność silnika Godot sprawia, że stał się on celem cyberprzestępców, umożliwiając szybkie rozprzestrzenianie się złośliwego oprogramowania, takiego jak GodLoader, poprzez wykorzystanie zaufania do otwartych platform. Dla 1,2 miliona użytkowników gier stworzonych w Godot konsekwencje mogą być poważne, nie tylko dla ich urządzeń, ale także integralności całego ekosystemu gier. To sygnał alarmowy dla branży, by priorytetowo traktować proaktywne, wieloplatformowe środki cyberbezpieczeństwa, aby wyprzedzać ten niepokojący trend – uważa Eli Smadja, menedżer grupy ds. badań nad bezpieczeństwem w Check Point Software Technologies
Jak się chronić?
Eksperci są zgodni. Osoby regularnie korzystające z gier i instalujące oprogramowanie powinny unikać klikania w podejrzane linki i pobierania plików z niezweryfikowanych źródeł i czytać najnowsze informacje na temat aktualizacji systemów zabezpieczeń swoich urządzeń.
GodLoader to przykład coraz bardziej wyrafinowanych zagrożeń w świecie cyberprzestępczości. Świadomość zagrożeń i odpowiednie narzędzia bezpieczeństwa są kluczowe, by przeciwdziałać tego typu atakom i chronić zarówno deweloperów, jak i użytkowników końcowych.