GodLoader マルウェア
2D および 3D ゲームの開発に広く使用されている人気のオープンソース ツール Godot Engine が、GodLoader キャンペーンと呼ばれる新しいサイバー脅威の中心となっています。少なくとも 2024 年 6 月以降、この脅威的なキャンペーンは、プラットフォームのスクリプト機能を悪用して有害なコードを実行し、17,000 を超えるシステムを侵害しています。
目次
信頼されたツールが脅威の媒介に
Godot Engine は、Windows、macOS、Linux、Android、iOS、主要なゲーム コンソールの開発をサポートする汎用性を備えているため、サイバー犯罪者にとっても魅力的なツールとなっています。攻撃者は、Godot の柔軟性を活用して、破損した GDScript コードをカスタム実行ファイルに埋め込み、マルウェアを起動して、ほぼすべてのマルウェア対策検出メカニズムを回避しています。このキャンペーンは、信頼できるオープン ソース ツールがユーザーに対して武器として使用される可能性があることを浮き彫りにしています。
Godot を使用して構築されたゲームを利用する 120 万人のユーザーにとって、その影響は個人のデバイスのセキュリティにとどまらず、より広範なゲーム エコシステムへの潜在的な危害にまで及びます。これは、開発者と業界がプラットフォーム全体で積極的なサイバー セキュリティ対策を採用することが急務であることを強調しています。
GodLoader の運営方法: 多面的な配布戦略
このキャンペーンの特徴は、配布ベクトルとして GitHub を巧みに利用していることです。攻撃者は Stargazers Ghost Network を使用します。これには約 200 の GitHub リポジトリと 225 を超える不正アカウントが含まれます。これらのアカウントは不正リポジトリに「スター」を付け、疑いを持たないユーザーには正当なリポジトリのように見えます。
この攻撃は、開発者、ゲーマー、一般ユーザーをターゲットに、2024 年 9 月 12 日、9 月 14 日、9 月 29 日、10 月 3 日の 4 つの異なる波で進行しました。各攻撃では、Godot Engine 実行ファイル (.PCK ファイル) が展開され、GodLoader マルウェアがインストールされます。その後、このローダーは、 RedLine StealerやXMRig暗号通貨マイナーなどの最終的なペイロードを Bitbucket リポジトリから取得します。
高度な回避戦術:検出の回避
GodLoader の成功は、その高度な回避技術によるものです。仮想環境とサンドボックス分析を回避し、管理されたセキュリティ環境での検出を効果的に無効にします。さらに、このマルウェアは、C:\ ドライブ全体を除外リストに追加することで Microsoft Defender Antivirus を操作し、感染したシステムでその活動が検出されないようにします。
現在のキャンペーンは Windows デバイスをターゲットにしていますが、研究者は、macOS や Linux システムにも簡単に適応できる可能性があると警告しています。Godot のプラットフォームに依存しないアーキテクチャにより、攻撃者は複数のオペレーティング システム用のペイロードを開発できるため、キャンペーンの範囲と影響が大幅に拡大します。
さらなる悪用の可能性
攻撃者は主にカスタムビルドされた Godot 実行ファイルを使用してマルウェアを拡散してきました。しかし、研究者は、正規の Godot ビルド ゲームを改ざんするというさらに大きな脅威について警告しています。PCK ファイルの抽出に使用される対称暗号化キーを入手することで、サイバー犯罪者は本物のゲーム ファイルを操作して悪意のあるペイロードを配信することができます。
非対称鍵暗号化(公開鍵と秘密鍵のペアを暗号化と復号化に使用)に切り替えると、このようなリスクを軽減できます。このアプローチにより、攻撃者が正規のソフトウェアを侵害することが大幅に困難になります。
Godot セキュリティチームの対応
これらの調査結果を踏まえ、Godot セキュリティ チームは、実行可能ファイルを信頼できるソースからのみダウンロードすることの重要性を強調しました。同チームは、ファイルが信頼できる組織によって署名されていることを確認し、クラックされたソフトウェアや検証されていないソフトウェアの使用を避けるようユーザーに強く勧めました。悪意のあるソフトウェアを作成するために使用できるプログラミング言語はどれでもかまいませんが、Godot のスクリプト機能は、Python や Ruby などの同様のプラットフォームと比較して、悪用される可能性は高くも低くもありません。
より広範な影響: 信頼と警戒
GodLoader キャンペーンは、攻撃者が正当なプラットフォームを悪用してセキュリティ制御を回避し、脅威となるソフトウェアを配布する方法を例示しています。プラットフォームに依存しないペイロード配信を可能にする Godot のアーキテクチャにより、サイバー犯罪者は Windows、Linux、macOS など、さまざまなオペレーティング システムのデバイスを効率的にターゲットにすることができます。
このキャンペーンは、標的を絞った配布ネットワークとステルス性の高い配信メカニズムを組み合わせた結果、感染が広まり、攻撃者の強力な武器となっています。この状況は、ユーザーに対して注意を払い、検証済みのソースからのみソフトウェアをダウンロードするようにという厳しい警告となっています。
サイバーセキュリティ強化の要請
GodLoader キャンペーンが拡大し続ける中、これはソフトウェア開発およびゲーム業界にとって警鐘となっています。このようなリスクを軽減するには、堅牢なセキュリティ対策、クロスプラットフォームの脅威検出ツール、暗号化の進歩が不可欠です。開発から展開まで、あらゆる段階でサイバーセキュリティを優先することで、業界はユーザーの信頼と安全を損なう同様の脅威が発生する可能性を減らすことができます。
