해커는 GodLoader 악성 코드로 Godot 엔진을 악용합니다.
해커들이 GodLoader라는 새로운 악성 코드를 개발했습니다. 탐지를 회피하기 위해 널리 사용되는 Godot 게임 엔진을 이용합니다. 이 악성코드는 3개월 이내에 17,000개 이상의 시스템을 감염시켰습니다.
Check Point Research에 따르면, 악의적인 행위자는 모든 주요 플랫폼의 게이머를 표적으로 삼고 있습니다. 여기에는 Windows, macOS, Linux, Android 및 iOS가 포함됩니다. 그들은 Godot의 유연성과 GDScript 스크립팅 언어 기능을 활용합니다.
이를 통해 임의의 코드를 실행하고 탐지 시스템을 우회할 수 있습니다. 이들은 게임 자산을 패키징하여 유해한 스크립트를 삽입하는 게임 엔진의 .pck 파일을 사용합니다. 악의적으로 제작된 파일이 로드되면 피해자의 장치에 유해한 코드가 실행됩니다.
이를 통해 공격자는 자격 증명을 훔치거나 추가 페이로드를 다운로드할 수 있습니다. 페이로드에는 XMRig 암호화 마이너가 포함됩니다. 이 광부 악성코드의 구성 설정은 개인 Pastebin 파일에서 호스팅되었습니다.
지난 5월 업로드됐으며, 캠페인 기간 동안 206,913회 방문을 기록했다. “최소한 2024년 6월 29일부터 사이버 범죄자들은 Godot Engine을 활용해 왔습니다. 이들은 악성 명령을 실행하고 악성 코드를 전달하는 조작된 GDScript 코드를 실행합니다.
이 기술은 VirusTotal의 대부분의 바이러스 백신 도구에서 감지되지 않은 상태로 남아 있습니다. 단 몇 달 만에 17,000대 이상의 시스템을 감염시킬 가능성이 있습니다.”라고 Check Point Research는 말했습니다. Godot 엔진은 대규모 개발자 커뮤니티에서 선호합니다.
이는 오픈 소스 특성과 강력한 기능 때문입니다. 2,700명이 넘는 개발자가 참여했습니다. Discord 및 YouTube와 같은 플랫폼에는 약 80,000명의 팔로워가 있습니다.
공격자는 악성코드 DaaS(Distribution-as-a-Service)를 통해 GodLoader 악성코드를 전달했습니다. 합법적인 것처럼 보이는 GitHub 리포지토리를 사용하여 활동을 숨깁니다.
GodLoader 악성 코드는 게임 플랫폼을 표적으로 삼습니다.
2024년 9월부터 10월까지 200개가 넘는 리포지토리가 사용되었습니다. 그들은 225개가 넘는 Stargazer Ghost 계정에 의해 통제되었습니다. 리포지토리는 악성코드를 배포하는 데 사용되었습니다.
이는 오픈 소스 플랫폼과 합법적인 것처럼 보이는 소프트웨어 저장소에 대한 피해자의 신뢰를 악용했습니다. Check Point는 9월 12일부터 10월 3일까지 4번의 개별 공격을 감지했습니다. 이 공격은 개발자와 게이머가 감염된 도구와 게임을 다운로드하도록 유도했습니다.
Check Point는 Windows 시스템을 대상으로 하는 GodLoader 샘플만 발견했지만 GDScript 개념 증명 공격 코드를 개발했습니다. 이는 이 악성코드가 Linux 및 macOS 시스템을 공격하기 위해 얼마나 쉽게 적응할 수 있는지를 보여주었습니다. Stargazers Ghost Network DaaS 플랫폼 배후의 위협 행위자는 적어도 2022년 8월부터 활동해 왔습니다.
이 악성코드 배포 서비스를 다크웹에서 홍보하는 것이 2023년 6월 처음 관측됐다. 출시 이후 10만 달러 이상의 수익을 올린 것으로 알려졌다. 네트워크는 GitHub에서 3,000개가 넘는 “유령” 계정을 사용합니다.
맬웨어를 전달하는 데 사용할 수 있는 수백 개의 저장소를 생성합니다. 악성 코드는 주로 RedLine 및 Lumma Stealer와 같은 정보 도용자입니다. Godot Engine의 관리자이자 보안 팀원인 Rémi Verschelde가 성명을 발표했습니다.
Check Point Research 보고서에 대한 답변은 다음과 같습니다.
“보고서에 명시되어 있듯이 취약점은 Godot에만 국한된 것이 아닙니다. Godot 엔진은 Python이나 Ruby와 유사한 스크립팅 언어를 사용하는 프로그래밍 시스템입니다. 악성 프로그램은 모든 프로그래밍 언어로 작성될 수 있습니다.
시스템에 Godot 게임이나 편집기만 설치한 사용자는 특별히 위험에 처하지 않습니다. 우리는 사람들이 신뢰할 수 있는 소스에서만 소프트웨어를 실행하도록 권장합니다.”
Verschelde는 Godot가 “.pck” 파일에 대한 파일 핸들러를 등록하지 않는다는 점에 주목했습니다. 이를 위해서는 악의적인 행위자가 Godot 런타임을 .pck 파일과 함께 제공해야 합니다.
특히 런타임 크기로 인해 “원클릭 익스플로잇”을 만드는 것이 어려워집니다. 사용자는 주의를 기울이고 신뢰할 수 있는 소스에서만 소프트웨어를 다운로드하는 것이 좋습니다. 이는 정교한 악성 코드 공격의 희생양이 되는 것을 방지하기 위한 것입니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)