Les hackers exploitent le moteur de jeu populaire Godot pour propager des logiciels malveillants

Les chercheurs en sécurité de Check Point Research ont découvert un nouveau chargeur de logiciels malveillants “GodLoader” qui exploite le moteur de jeu “Godot Engine”.

Pour ceux qui ne le savent pas, Godot Engine est un moteur de jeu open-source populaire connu pour sa polyvalence dans le développement de jeux 2D et 3D.

Son interface conviviale et son ensemble de fonctionnalités robustes permettent aux développeurs d’exporter des jeux vers diverses plateformes, y compris Windows, macOS, Linux, Android, iOS, HTML5 (Web), et plus encore.

Son langage de script inspiré de Python, GDScript, ainsi que le support de VisualScript et C#, en font un favori parmi les développeurs de tous niveaux de compétence.

Avec une communauté active et en croissance de plus de 2 700 développeurs et environ 80 000 abonnés sur les réseaux sociaux, la popularité de la plateforme et son soutien dédié sont indéniables.

Cependant, la popularité de la plateforme en a également fait une cible pour les cybercriminels, qui ont tiré parti de sa nature open-source pour délivrer des commandes malveillantes et des logiciels malveillants tout en restant non détectés par presque tous les moteurs antivirus dans VirusTotal.

Dans un rapport intitulé “Moteurs de jeu : un terrain de jeu non détecté pour les chargeurs de logiciels malveillants”, les chercheurs affirment croire que l’acteur de la menace derrière le logiciel malveillant GodLoader l’utilise depuis le 29 juin 2024 et a infecté plus de 17 000 appareils jusqu’à présent.

Notamment, ces charges utiles comprenaient des mineurs de cryptomonnaie comme XMRig, qui était hébergé sur un fichier Pastebin privé téléchargé le 10 mai 2024. Le fichier contenait la configuration XMRig liée à la campagne, qui a été visitée 206 913 fois.

Le logiciel malveillant est distribué via le réseau Stargazers Ghost, qui fonctionne selon un modèle de Distribution-as-Service (DaaS), permettant la distribution “légitime” de logiciels malveillants via des dépôts GitHub.

Environ 200 dépôts et plus de 225 comptes Stargazer Ghost ont été utilisés pour distribuer GodLoader tout au long de septembre et octobre.

Les attaques, ciblant les développeurs, les joueurs et les utilisateurs en général, ont été menées en quatre vagues via des dépôts GitHub les 12 septembre, 14 septembre, 29 septembre et 3 octobre 2024, les incitant à télécharger des outils et des jeux infectés.

“Godot utilise des fichiers .pck (pack) pour regrouper les ressources et les actifs de jeu, tels que des scripts, des scènes, des textures, des sons et d’autres données. Le jeu peut charger ces fichiers dynamiquement, permettant aux développeurs de distribuer des mises à jour, du contenu téléchargeable (DLC) ou des actifs de jeu supplémentaires sans modifier l’exécutable principal du jeu,” ont déclaré les chercheurs de Check Point dans le rapport.

“Ces fichiers pack peuvent contenir des éléments liés aux jeux, des images, des fichiers audio et tout autre fichier ‘statique’. En plus de ces fichiers statiques, les fichiers .pck peuvent inclure des scripts écrits en GDScript (.gd). Ces scripts peuvent être exécutés lorsque le .pck est chargé en utilisant la fonction de rappel intégrée _ready(), permettant au jeu d’ajouter de nouvelles fonctionnalités ou de modifier le comportement existant.

“Cette fonctionnalité offre aux attaquants de nombreuses possibilités, allant du téléchargement de logiciels malveillants supplémentaires à l’exécution de charges utiles distantes, tout en restant non détectés. Étant donné que GDScript est un langage entièrement fonctionnel, les acteurs de la menace disposent de nombreuses fonctions telles que des mesures anti-sandbox, anti-machine virtuelle et d’exécution de charges utiles distantes, permettant au logiciel malveillant de rester non détecté.”

Bien que les chercheurs n’aient identifié que des échantillons de GodLoader ciblant spécifiquement les systèmes Windows, ils ont également développé une preuve de concept d’exploit utilisant GDScript, démontrant à quel point le logiciel malveillant pouvait facilement être adapté pour cibler les systèmes Linux et macOS.

Pour réduire les risques posés par des menaces comme GodLoader, il est crucial de maintenir les systèmes d’exploitation et les applications à jour avec des correctifs en temps opportun et d’exercer une prudence avec les e-mails ou messages inattendus contenant des liens provenant de sources inconnues.

De plus, favoriser la sensibilisation à la cybersécurité parmi les employés et consulter des spécialistes de la sécurité en cas de doute peut améliorer considérablement la protection contre les défis de sécurité potentiels.

En réponse au rapport de Check Point Research, Rémi Verschelde, mainteneur de Godot Engine et membre de l’équipe de sécurité, a envoyé la déclaration suivante à BleepingComputer :

Comme le rapporte Check Point Research, la vulnérabilité n’est pas spécifique à Godot. Le moteur Godot est un système de programmation avec un langage de script. Il est similaire, par exemple, aux environnements d’exécution Python et Ruby. Il est possible d’écrire des programmes malveillants dans n’importe quel langage de programmation. Nous ne croyons pas que Godot soit particulièrement plus ou moins adapté à cela que d’autres programmes similaires.

Les utilisateurs qui ont simplement un jeu ou un éditeur Godot installé sur leur système ne sont pas spécifiquement à risque. Nous encourageons les gens à n’exécuter que des logiciels provenant de sources fiables.

Pour quelques détails techniques supplémentaires :

Godot ne registre pas de gestionnaire de fichiers pour les fichiers “.pck”. Cela signifie qu’un acteur malveillant doit toujours expédier le runtime Godot avec un fichier .pck. L’utilisateur devra toujours décompresser le runtime avec le .pck au même endroit et ensuite exécuter le runtime. Il n’y a aucun moyen pour un acteur malveillant de créer un “exploit en un clic”, à moins d’autres vulnérabilités au niveau du système d’exploitation. Si une telle vulnérabilité au niveau du système d’exploitation était exploitée, alors Godot ne serait pas une option particulièrement attrayante en raison de la taille du runtime.

C’est similaire à l’écriture de logiciels malveillants en Python ou Ruby, l’acteur malveillant devra expédier un python.exe ou ruby.exe avec leur programme malveillant.