해커들이 인기 있는 Godot 게임 엔진을 이용해 악성코드를 퍼뜨리다

Check Point Research의 보안 연구원들이 게임 엔진 “Godot Engine”을 이용해 악성코드 로더 “GodLoader”를 발견했습니다.

Godot Engine은 2D 및 3D 게임 개발의 다재다능함으로 잘 알려진 인기 있는 오픈 소스 게임 엔진입니다.

사용자 친화적인 인터페이스와 강력한 기능 세트 덕분에 개발자들은 Windows, macOS, Linux, Android, iOS, HTML5 (웹) 등 다양한 플랫폼으로 게임을 내보낼 수 있습니다.

Python에서 영감을 받은 스크립팅 언어인 GDScript와 VisualScript 및 C#에 대한 지원 덕분에 모든 기술 수준의 개발자들 사이에서 인기가 높습니다.

2,700명 이상의 개발자와 약 80,000명의 소셜 미디어 팔로워를 보유한 활발하고 성장하는 커뮤니티 덕분에 이 플랫폼의 인기도와 헌신적인 지원은 부인할 수 없습니다.

그러나 플랫폼의 인기는 사이버 범죄자들의 표적이 되기도 했으며, 이들은 오픈 소스 특성을 이용해 악성 명령과 악성코드를 전달하면서 VirusTotal의 거의 모든 안티바이러스 엔진에 의해 탐지되지 않고 있습니다.

“Gaming Engines: An Undetected Playground for Malware Loaders”라는 제목의 보고서에서 연구자들은 GodLoader 악성코드의 위협 행위자가 2024년 6월 29일부터 이를 사용해 왔으며, 현재까지 17,000대 이상의 장치를 감염시켰다고 믿고 있다고 밝혔습니다.

특히 이러한 페이로드에는 2024년 5월 10일에 업로드된 개인 Pastebin 파일에 호스팅된 XMRig와 같은 암호화폐 채굴기가 포함되어 있었습니다. 이 파일은 캠페인과 관련된 XMRig 구성 정보를 포함하고 있으며, 206,913회 방문되었습니다.

악성코드는 GitHub 리포지토리를 통해 “합법적인” 배포를 가능하게 하는 배포 서비스(DaaS) 모델로 운영되는 Stargazers Ghost Network를 통해 배포됩니다.

약 200개의 리포지토리와 225개 이상의 Stargazer Ghost 계정이 9월과 10월 동안 GodLoader를 배포하는 데 사용되었습니다.

개발자, 게이머 및 일반 사용자를 대상으로 한 공격은 2024년 9월 12일, 9월 14일, 9월 29일, 10월 3일에 GitHub 리포지토리를 통해 4차례에 걸쳐 수행되었으며, 감염된 도구와 게임을 다운로드하도록 유도했습니다.

“Godot은 게임 자산과 리소스(스크립트, 장면, 텍스처, 사운드 및 기타 데이터 등)를 묶기 위해 .pck(팩) 파일을 사용합니다. 게임은 이러한 파일을 동적으로 로드할 수 있어 개발자가 핵심 게임 실행 파일을 수정하지 않고도 업데이트, 다운로드 가능한 콘텐츠(DLC) 또는 추가 게임 자산을 배포할 수 있습니다,”라고 Check Point 연구원들은 보고서에서 말했습니다.

“이 팩 파일에는 게임과 관련된 요소, 이미지, 오디오 파일 및 기타 ‘정적’ 파일이 포함될 수 있습니다. 이러한 정적 파일 외에도 .pck 파일에는 GDScript(.gd)로 작성된 스크립트가 포함될 수 있습니다. 이러한 스크립트는 .pck가 내장된 콜백 함수 _ready()를 사용하여 로드될 때 실행될 수 있으며, 게임이 새로운 기능을 추가하거나 기존 동작을 수정할 수 있게 합니다.

“이 기능은 공격자에게 추가 악성코드를 다운로드하거나 원격 페이로드를 실행하는 등 많은 가능성을 제공합니다. GDScript는 완전한 기능을 갖춘 언어이므로 위협 행위자는 악성코드가 탐지되지 않도록 하기 위한 샌드박스 우회, 가상 머신 우회 조치 및 원격 페이로드 실행과 같은 많은 기능을 사용할 수 있습니다.”

연구원들은 Windows 시스템을 겨냥한 GodLoader 샘플만을 확인했지만, GDScript를 사용하여 Linux 및 macOS 시스템을 겨냥할 수 있는 악용 사례를 입증하는 개념 증명도 개발했습니다.

GodLoader와 같은 위협이 초래하는 위험을 줄이기 위해서는 운영 체제와 응용 프로그램을 적시에 업데이트하고, 알 수 없는 출처의 링크가 포함된 예상치 못한 이메일이나 메시지에 주의하는 것이 중요합니다.

또한, 직원들 사이에서 사이버 보안 인식을 높이고 의심스러운 경우 보안 전문가와 상담하는 것이 잠재적인 보안 문제에 대한 보호를 크게 향상시킬 수 있습니다.

Check Point Research의 보고서에 대한 응답으로, Godot Engine 유지 관리자인 Rémi Verschelde는 BleepingComputer에 다음과 같은 성명을 보냈습니다:

Check Point Research 보고서에서 언급했듯이, 이 취약점은 Godot에만 국한되지 않습니다. Godot Engine은 스크립팅 언어를 가진 프로그래밍 시스템입니다. 이는 예를 들어 Python 및 Ruby 런타임과 유사합니다. 모든 프로그래밍 언어로 악성 프로그램을 작성할 수 있습니다. 우리는 Godot이 다른 프로그램보다 특히 더 적합하다고 생각하지 않습니다.

단순히 Godot 게임이나 편집기를 시스템에 설치한 사용자들은 특별히 위험에 처해 있지 않습니다. 우리는 사람들이 신뢰할 수 있는 출처의 소프트웨어만 실행하도록 권장합니다.

조금 더 기술적인 세부 사항:

Godot은 “.pck” 파일에 대한 파일 핸들러를 등록하지 않습니다. 이는 악성 행위자가 항상 .pck 파일과 함께 Godot 런타임을 제공해야 함을 의미합니다. 사용자는 항상 런타임과 .pck를 동일한 위치에 압축 해제한 후 런타임을 실행해야 합니다. 악성 행위자가 “원클릭 악용”을 생성할 방법은 없습니다. 다른 OS 수준의 취약점을 제외하고는 말입니다. 만약 그러한 OS 수준의 취약점이 사용된다면 Godot은 런타임의 크기 때문에 특히 매력적인 선택이 아닐 것입니다.

이는 Python이나 Ruby로 악성 소프트웨어를 작성하는 것과 유사합니다. 악성 행위자는 항상 자신의 악성 프로그램과 함께 python.exe 또는 ruby.exe를 제공해야 합니다.