Los hackers explotan el popular motor de juegos Godot para difundir malware

Los investigadores de seguridad de Check Point Research han descubierto un nuevo cargador de malware “GodLoader” que explota el motor de juegos “Godot Engine”.

Para aquellos que no lo sepan, Godot Engine es un popular motor de juegos de código abierto conocido por su versatilidad en el desarrollo de juegos en 2D y 3D.

Su interfaz fácil de usar y su robusto conjunto de características permiten a los desarrolladores exportar juegos a varias plataformas, incluyendo Windows, macOS, Linux, Android, iOS, HTML5 (Web) y más.

Su lenguaje de scripting inspirado en Python, GDScript, junto con el soporte para VisualScript y C#, lo convierte en un favorito entre los desarrolladores de todos los niveles de habilidad.

Con una comunidad activa y en crecimiento de más de 2,700 desarrolladores y alrededor de 80,000 seguidores en redes sociales, la popularidad de la plataforma y su apoyo dedicado son innegables.

Sin embargo, la popularidad de la plataforma también la ha convertido en un objetivo para los ciberdelincuentes, quienes han aprovechado su naturaleza de código abierto para entregar comandos maliciosos y malware mientras permanecen indetectados por casi todos los motores antivirus en VirusTotal.

En un informe titulado “Motores de Juegos: Un Parque de Diversiones Indetectado para Cargadores de Malware”, los investigadores dicen que creen que el actor de la amenaza detrás del malware GodLoader lo ha estado utilizando desde el 29 de junio de 2024 y ha infectado más de 17,000 dispositivos hasta ahora.

Notablemente, estas cargas incluían mineros de criptomonedas como XMRig, que se alojó en un archivo privado de Pastebin subido el 10 de mayo de 2024. El archivo contenía la configuración de XMRig relacionada con la campaña, que fue visitada 206,913 veces.

El malware se distribuye a través de la Red Fantasma de Stargazers, que opera como un modelo de Distribución-como-Servicio (DaaS), permitiendo la distribución “legítima” de malware malicioso a través de repositorios de GitHub.

Aproximadamente 200 repositorios y más de 225 cuentas de Stargazer Ghost se utilizaron para distribuir GodLoader a lo largo de septiembre y octubre.

Los ataques, dirigidos a desarrolladores, jugadores y usuarios en general, se llevaron a cabo en cuatro oleadas a través de repositorios de GitHub el 12 de septiembre, 14 de septiembre, 29 de septiembre y 3 de octubre de 2024, tentándolos a descargar herramientas y juegos infectados.

“Godot utiliza archivos .pck (pack) para agrupar activos y recursos del juego, como scripts, escenas, texturas, sonidos y otros datos. El juego puede cargar estos archivos dinámicamente, permitiendo a los desarrolladores distribuir actualizaciones, contenido descargable (DLC) o activos adicionales del juego sin modificar el ejecutable principal del juego”, dijeron los investigadores de Check Point en el informe.

“Estos archivos de paquete pueden contener elementos relacionados con los juegos, imágenes, archivos de audio y cualquier otro archivo ‘estático’. Además de estos archivos estáticos, los archivos .pck pueden incluir scripts escritos en GDScript (.gd). Estos scripts pueden ejecutarse cuando se carga el .pck utilizando la función de callback incorporada _ready(), permitiendo que el juego agregue nueva funcionalidad o modifique el comportamiento existente.

“Esta característica brinda a los atacantes muchas posibilidades, desde descargar malware adicional hasta ejecutar cargas útiles remotas, todo mientras permanecen indetectados. Dado que GDScript es un lenguaje completamente funcional, los actores de amenazas tienen muchas funciones como medidas anti-sandbox, anti-máquina virtual y ejecución de cargas útiles remotas, lo que permite que el malware permanezca indetectado.”

Si bien los investigadores solo identificaron muestras de GodLoader que apuntaban específicamente a sistemas Windows, también desarrollaron un exploit de prueba de concepto utilizando GDScript, demostrando cuán fácilmente el malware podría adaptarse para atacar sistemas Linux y macOS.

Para reducir los riesgos que plantean amenazas como GodLoader, es crucial mantener los sistemas operativos y las aplicaciones actualizadas con parches oportunos y ejercer precaución con correos electrónicos o mensajes inesperados que contengan enlaces de fuentes desconocidas.

Además, fomentar la conciencia sobre ciberseguridad entre los empleados y consultar a especialistas en seguridad cuando haya dudas puede mejorar significativamente la protección contra posibles desafíos de seguridad.

En respuesta al informe de Check Point Research, Rémi Verschelde, mantenedor de Godot Engine y miembro del equipo de seguridad, envió la siguiente declaración a BleepingComputer:

Como indica el informe de Check Point Research, la vulnerabilidad no es específica de Godot. Godot Engine es un sistema de programación con un lenguaje de scripting. Es similar, por ejemplo, a los entornos de ejecución de Python y Ruby. Es posible escribir programas maliciosos en cualquier lenguaje de programación. No creemos que Godot sea particularmente más o menos adecuado para hacerlo que otros programas similares.

Los usuarios que simplemente tienen un juego o editor de Godot instalado en su sistema no están específicamente en riesgo. Animamos a las personas a ejecutar solo software de fuentes confiables.

Para algunos detalles más técnicos:
Godot no registra un controlador de archivos para archivos “.pck”. Esto significa que un actor malicioso siempre tiene que enviar el tiempo de ejecución de Godot junto con un archivo .pck. El usuario siempre tendrá que descomprimir el tiempo de ejecución junto con el .pck en la misma ubicación y luego ejecutar el tiempo de ejecución. No hay forma de que un actor malicioso cree un “exploit de un clic”, salvo por otras vulnerabilidades a nivel de sistema operativo. Si se utilizara tal vulnerabilidad a nivel de sistema operativo, entonces Godot no sería una opción particularmente atractiva debido al tamaño del tiempo de ejecución.

Esto es similar a escribir software malicioso en Python o Ruby, el actor malicioso tendrá que enviar un python.exe o ruby.exe junto con su programa malicioso.