Godot-Engine
Cyberkriminelle missbrauchen die Gaming Godot-Engine für Schadcode-Angriffe
Die Security-Forscher von Check Point haben eine neue Methode entdeckt, mit der Cyberkriminelle die Open-Source-Gaming-Engine Godot ausnutzen , um Schadcode auf verschiedenen Plattformen auszuführen. Dieser Angriff könnte Millionen von Nutzern betreffen und hat bereits Tausende von Geräten kompromittiert.
Godot als Werkzeug für Hacker
Godot ist eine beliebte, frei zugängliche Spieleentwicklungsplattform, die Entwickler mit umfassenden Tools und einer benutzerfreundlichen Oberfläche unterstützt. Ihre Flexibilität erlaubt die Erstellung von Spielen für Plattformen wie Windows, macOS, Linux, Android, iOS und HTML5. Mit einer aktiven Community von über 80.000 Followern und mehr als 2.700 Mitwirkenden hat Godot weltweit an Bedeutung gewonnen. Doch diese Popularität wird nun von Hackern ausgenutzt, um schädliche Software unbemerkt zu verbreiten. Cyberkriminelle nutzen die Fähigkeit von Godot, plattformübergreifend zu arbeiten, und die Skriptsprache GDScript, um eine Schadsoftware namens GodLoader zu entwickeln. Diese erlaubt die Bereitstellung und Ausführung von Schadcode auf unterschiedlichen Geräten. Laut Check Point hat diese Technik seit ihrem Auftauchen im Juni 2024 mehr als 17.000 Geräte infiziert.
Wie die Angriffe funktionieren
Der Angriff basiert auf der Manipulation von Godots PCK-Dateien, die normalerweise dazu dienen, Spielinhalte wie Skripte und Szenen zu bündeln. Diese Dateien werden als legitime Spieledateien präsentiert, doch enthalten sie schädlichen Code, der beim Laden ausgeführt wird. Der schädliche Code wird über die Callback-Funktionen der Engine aktiviert, wodurch Angreifer in der Lage sind, zusätzliche Malware herunterzuladen, Nutzerdaten zu stehlen oder sogar Ransomware auszuführen. Dank der plattformunabhängigen Architektur von Godot bleibt GodLoader von vielen Sicherheitslösungen unentdeckt. Zusätzlich erschweren Anti-Sandbox-Techniken und Maßnahmen gegen virtuelle Maschinen die Erkennung. Das macht diese Malware besonders gefährlich, da sie auf unterschiedlichen Betriebssystemen gleichermaßen effektiv ist.
Das Stargazers Ghost Network
Ein wesentlicher Teil des Verbreitungsmechanismus von GodLoader ist das sogenannte Stargazers Ghost Network . Dieses Malware-Netzwerk funktioniert nach dem Prinzip „Distribution as a Service“ (DaaS) und nutzt scheinbar legitime GitHub-Repositories zur Verbreitung. Zwischen September und Oktober 2024 wurden mehr als 200 solcher Repositories erstellt und durch über 225 Konten unterstützt, die den Eindruck von Vertrauenswürdigkeit erwecken sollten. Durch diese Taktik werden Entwickler und Spieler getäuscht. Entwickler laden unwissentlich die manipulierten Dateien herunter und integrieren sie in ihre Projekte, während Spieler infizierte Spiele installieren. Besonders problematisch ist, dass der Angriff potenziell über 1,2 Millionen Spiele betrifft, die mit der Godot-Engine erstellt wurden. Die Schadsoftware wird häufig über Mods und herunterladbare Zusatzinhalte (DLCs) eingeschleust.
Die Risiken für Nutzer und Entwickler
Die Auswirkungen dieser Angriffe sind enorm. Spieleentwickler könnten unwissentlich ihre Projekte und somit die Spieler gefährden, während Nutzer, die betroffene Spiele herunterladen, einem erhöhten Risiko ausgesetzt sind. Zudem könnte die Verbreitung über bekannte Plattformen wie GitHub dazu führen, dass weitere Entwickler unwissentlich den schädlichen Code in ihren Projekten verwenden. Das Stargazers Ghost Network nutzt das Vertrauen in Open-Source-Software aus, um Malware unauffällig zu verbreiten. Durch geschicktes Marketing und die Erstellung seriös wirkender Repositories wird der Anschein erweckt, es handle sich um legitime Entwicklungsressourcen. Die hohe Verbreitungsrate zeigt die Effektivität dieser Methode: Innerhalb weniger Monate waren Tausende Geräte betroffen.
Warum Godot für Angriffe attraktiv ist
Godot bietet Angreifern eine ideale Plattform, da die Engine eine einfache Skriptsprache mit breiter Funktionalität kombiniert. Dies ermöglicht die Erstellung von Schadsoftware, die schwer zu erkennen ist. Zudem erleichtert die plattformübergreifende Natur der Engine die Verbreitung von Malware auf verschiedenen Geräten und Betriebssystemen. Die Beliebtheit von Godot trägt ebenfalls dazu bei, dass sich diese Angriffe effizient ausweiten können. Viele Entwickler und Spieler vertrauen auf die Plattform und gehen davon aus, dass die bereitgestellten Inhalte sicher sind. Genau dieses Vertrauen wird nun von den Angreifern ausgenutzt.
Wie können sich Nutzer schützen?
Um sich vor Angriffen wie diesen zu schützen, sollten Nutzer und Entwickler Vorsichtsmaßnahmen treffen:
- Regelmäßige Updates: Betriebssysteme und Software sollten stets auf dem neuesten Stand gehalten werden, um bekannte Sicherheitslücken zu schließen.
- Vorsicht bei Downloads: Dateien und Programme sollten nur aus vertrauenswürdigen Quellen heruntergeladen werden. Open-Source-Projekte sollten vor der Nutzung gründlich überprüft werden.
- Antiviren-Software: Obwohl viele Lösungen GodLoader nicht erkennen, können aktuelle Sicherheitsprogramme dennoch grundlegenden Schutz bieten.
- Sensibilisierung: Entwickler sollten sich der Risiken bewusst sein und verstärkt auf Sicherheitslücken in ihren Projekten achten. Regelmäßige Audits und Überprüfungen des Quellcodes können helfen, potenziellen Schaden zu vermeiden.
Fazit
Die Nutzung der Godot-Engine durch Cyberkriminelle zeigt, wie Open-Source-Software für bösartige Zwecke missbraucht werden kann. Angriffe wie diese stellen eine ernsthafte Bedrohung für Entwickler und Spieler dar und verdeutlichen die Notwendigkeit von Sicherheitsbewusstsein in der Gaming-Industrie. Es liegt sowohl an den Entwicklern als auch an den Nutzern, wachsam zu bleiben und geeignete Schutzmaßnahmen zu ergreifen, um sich vor solchen Angriffen zu schützen.