Logiciel malveillant GodLoader
Le célèbre moteur open source Godot Engine, un outil largement utilisé pour développer des jeux 2D et 3D, est devenu la pièce maîtresse d'une nouvelle cybermenace connue sous le nom de campagne GodLoader. Depuis au moins juin 2024, cette campagne menaçante a compromis plus de 17 000 systèmes en exploitant les capacités de script de la plateforme pour exécuter du code nuisible.
Table des matières
Un outil fiable devenu vecteur de menace
La polyvalence de Godot Engine, qui prend en charge le développement sur Windows, macOS, Linux, Android, iOS et les principales consoles de jeu, en fait également un outil attrayant pour les cybercriminels. En exploitant la flexibilité de Godot, les attaquants intègrent du code GDScript corrompu dans des exécutables personnalisés pour lancer des logiciels malveillants, contournant ainsi presque tous les mécanismes de détection anti-malware. Cette campagne montre comment des outils open source fiables peuvent être utilisés comme armes contre leurs utilisateurs.
Pour les 1,2 million de personnes qui interagissent avec des jeux créés avec Godot, les conséquences vont au-delà de la sécurité des appareils personnels et peuvent porter préjudice à l’écosystème du jeu dans son ensemble. Cela souligne l’urgence pour les développeurs et l’industrie d’adopter des mesures proactives de cybersécurité sur toutes les plateformes.
Comment fonctionne GodLoader : une stratégie de distribution à multiples facettes
Ce qui distingue cette campagne, c'est son utilisation sophistiquée de GitHub comme vecteur de distribution. Les attaquants utilisent le réseau fantôme Stargazers, qui comprend environ 200 référentiels GitHub et plus de 225 comptes frauduleux. Ces comptes « mettent en vedette » les référentiels frauduleux, les faisant apparaître comme légitimes aux yeux des utilisateurs peu méfiants.
La campagne s'est déroulée en quatre vagues distinctes (les 12, 14, 29 septembre et 3 octobre 2024), ciblant les développeurs, les joueurs et les utilisateurs généraux. Lors de chaque attaque, des exécutables Godot Engine (fichiers .PCK) sont déployés pour installer le malware GodLoader. Ce chargeur récupère ensuite les charges utiles finales, telles que le RedLine Stealer et le mineur de cryptomonnaie XMRig , à partir d'un référentiel Bitbucket.
Tactiques d’évasion avancées : détection d’esquive
Le succès de GodLoader est dû à ses techniques d'évasion avancées. Il contourne l'environnement virtuel et l'analyse sandbox, ce qui désactive efficacement la détection dans les environnements de sécurité contrôlés. De plus, le malware manipule Microsoft Defender Antivirus en ajoutant l'intégralité du lecteur C:\ à la liste d'exclusion, garantissant ainsi que ses activités restent indétectables sur les systèmes infectés.
Bien que la campagne actuelle cible les appareils Windows, les chercheurs préviennent qu'elle pourrait facilement être adaptée aux systèmes macOS et Linux. L'architecture indépendante de la plate-forme de Godot permet aux attaquants de développer des charges utiles pour plusieurs systèmes d'exploitation, augmentant ainsi considérablement la portée et l'impact de la campagne.
Potentiel d’exploitation accru
Les pirates informatiques ont principalement utilisé des exécutables Godot personnalisés pour propager des programmes malveillants. Cependant, les chercheurs mettent en garde contre une menace encore plus grande : la falsification de jeux légitimes créés par Godot. En obtenant la clé de chiffrement symétrique utilisée pour extraire les fichiers PCK, les cybercriminels pourraient manipuler des fichiers de jeu authentiques pour diffuser des charges utiles malveillantes.
Le passage à la cryptographie à clé asymétrique, où des paires de clés publiques et privées sont utilisées pour le chiffrement et le déchiffrement, pourrait atténuer ces risques. Cette approche rendrait considérablement plus difficile pour les attaquants de compromettre des logiciels légitimes.
La réponse de l’équipe de sécurité de Godot
À la lumière de ces résultats, l'équipe de sécurité de Godot a souligné l'importance de télécharger des exécutables uniquement à partir de sources fiables. Elle a exhorté les utilisateurs à s'assurer que les fichiers sont signés par une entité fiable et à éviter d'utiliser des logiciels piratés ou non vérifiés. Bien que n'importe quel langage de programmation puisse être utilisé pour créer des logiciels malveillants, les capacités de script de Godot ne sont ni plus ni moins susceptibles d'être utilisées à mauvais escient par rapport à des plateformes similaires comme Python ou Ruby.
Implications plus larges : confiance et vigilance
La campagne GodLoader illustre la manière dont les attaquants exploitent des plateformes légitimes pour contourner les contrôles de sécurité et distribuer des logiciels menaçants. Grâce à l'architecture de Godot permettant la livraison de charges utiles indépendantes de la plateforme, les cybercriminels peuvent cibler efficacement des appareils sur différents systèmes d'exploitation, notamment Windows, Linux et macOS.
La combinaison d'un réseau de distribution très ciblé et de mécanismes de diffusion furtifs a entraîné des infections à grande échelle, ce qui en fait un outil redoutable dans l'arsenal des attaquants. Cette situation rappelle aux utilisateurs qu'ils doivent faire preuve de prudence et télécharger des logiciels uniquement à partir de sources vérifiées.
L’appel à une cybersécurité renforcée
La campagne GodLoader continue de se dérouler et sert de signal d’alarme pour les industries du développement de logiciels et du jeu vidéo. Des mesures de sécurité robustes, des outils de détection des menaces multiplateformes et des avancées en matière de chiffrement sont essentiels pour atténuer ces risques. En donnant la priorité à la cybersécurité à chaque étape, du développement au déploiement, l’industrie peut réduire la probabilité que des menaces similaires compromettent la confiance et la sécurité de ses utilisateurs.
