ハッカーが人気のGodotゲームエンジンを悪用してマルウェアを拡散

Check Point Researchのセキュリティ研究者は、ゲームエンジン「Godot Engine」を悪用する新しいマルウェアローダー「GodLoader」を発見しました。

知らない方のために、Godot Engineは2Dおよび3Dゲーム開発における多用途性で知られる人気のオープンソースゲームエンジンです。

そのユーザーフレンドリーなインターフェースと堅牢な機能セットにより、開発者はWindows、macOS、Linux、Android、iOS、HTML5（Web）など、さまざまなプラットフォームにゲームをエクスポートできます。

Pythonに触発されたスクリプト言語GDScriptと、VisualScriptおよびC#のサポートにより、スキルレベルを問わず開発者に人気があります。

2,700人以上の開発者と約80,000人のソーシャルメディアフォロワーを持つ活発で成長するコミュニティがあり、このプラットフォームの人気と献身的なサポートは否定できません。

しかし、このプラットフォームの人気はサイバー犯罪者の標的にもなり、オープンソースの特性を利用して悪意のあるコマンドやマルウェアを配信し、VirusTotalのほぼすべてのアンチウイルスエンジンに検出されずに済んでいます。

「Gaming Engines: An Undetected Playground for Malware Loaders」というタイトルの報告書では、研究者たちはGodLoaderマルウェアの背後にいる脅威アクターが2024年6月29日からこのマルウェアを使用しており、これまでに17,000台以上のデバイスに感染させたと考えています。

特に、これらのペイロードには、2024年5月10日にアップロードされたプライベートPastebinファイルにホストされたXMRigのような暗号通貨マイナーが含まれていました。このファイルには、206,913回訪問されたキャンペーンに関連するXMRigの設定が含まれていました。

マルウェアは、Distribution-as-Service（DaaS）モデルとして機能するStargazers Ghost Networkを介して配布され、悪意のあるマルウェアの「正当な」配布をGitHubリポジトリを通じて可能にします。

約200のリポジトリと225以上のStargazer Ghostアカウントが、9月と10月にわたってGodLoaderを配布するために使用されました。

開発者、ゲーマー、一般ユーザーをターゲットにした攻撃は、2024年9月12日、9月14日、9月29日、10月3日の4回にわたってGitHubリポジトリを介して実施され、感染したツールやゲームのダウンロードを促しました。

「Godotは、スクリプト、シーン、テクスチャ、音声、その他のデータなどのゲームアセットやリソースをバンドルするために.pck（パック）ファイルを使用します。ゲームはこれらのファイルを動的にロードできるため、開発者はコアゲームの実行可能ファイルを変更することなく、更新、ダウンロード可能コンテンツ（DLC）、または追加のゲームアセットを配布できます」とCheck Pointの研究者は報告書で述べています。

「これらのパックファイルには、ゲームに関連する要素、画像、音声ファイル、その他の「静的」ファイルが含まれている可能性があります。これらの静的ファイルに加えて、.pckファイルにはGDScript（.gd）で書かれたスクリプトが含まれることがあります。これらのスクリプトは、.pckが組み込みのコールバック関数_ready()を使用してロードされるときに実行され、ゲームが新しい機能を追加したり、既存の動作を変更したりすることを可能にします。

「この機能は、攻撃者に追加のマルウェアをダウンロードしたり、リモートペイロードを実行したりするなど、多くの可能性を提供します—すべて検出されずに。GDScriptは完全な機能を持つ言語であるため、脅威アクターはサンドボックス対策、仮想マシン対策、リモートペイロード実行などの多くの機能を持ち、マルウェアが検出されないようにします。」

研究者たちは、特にWindowsシステムをターゲットにしたGodLoaderのサンプルを特定しただけですが、GDScriptを使用してLinuxおよびmacOSシステムをターゲットにする方法を示す概念実証のエクスプロイトも開発しました。

GodLoaderのような脅威によって引き起こされるリスクを軽減するためには、オペレーティングシステムやアプリケーションをタイムリーなパッチで更新し、未知のソースからのリンクを含む予期しないメールやメッセージに注意を払うことが重要です。

さらに、従業員のサイバーセキュリティ意識を高め、疑問がある場合はセキュリティ専門家に相談することで、潜在的なセキュリティの課題に対する保護を大幅に向上させることができます。

Check Point Researchの報告書に応じて、Godot EngineのメンテナーでありセキュリティチームのメンバーであるRémi Verscheldeは、BleepingComputerに次の声明を送りました：

Check Point Researchの報告書が示すように、この脆弱性はGodotに特有のものではありません。Godot Engineはスクリプト言語を持つプログラミングシステムです。これは、例えばPythonやRubyのランタイムに似ています。どのプログラミング言語でも悪意のあるプログラムを書くことが可能です。私たちは、Godotが他のプログラムよりも特に適しているとは考えていません。

単にGodotゲームやエディタをシステムにインストールしているユーザーは、特にリスクにさらされているわけではありません。私たちは、人々に信頼できるソースからのソフトウェアのみを実行するように促しています。

もう少し技術的な詳細について：

Godotは「.pck」ファイルのファイルハンドラを登録しません。これは、悪意のあるアクターが常にGodotランタイムを.pckファイルと一緒に配信しなければならないことを意味します。ユーザーは常にランタイムを.pckと同じ場所に解凍し、その後ランタイムを実行する必要があります。悪意のあるアクターが「ワンクリックエクスプロイト」を作成する方法はありません。他のOSレベルの脆弱性を除いて。もしそのようなOSレベルの脆弱性が使用された場合、Godotはランタイムのサイズのために特に魅力的な選択肢ではありません。

これは、PythonやRubyで悪意のあるソフトウェアを書くことに似ています。悪意のあるアクターは、悪意のあるプログラムと一緒にpython.exeやruby.exeを配信しなければなりません。