遊戲引擎Godot遭惡意利用 開源軟體安全再受挑戰
近期有安全專家發現,攻擊者利用這款引擎發動攻擊,開發出名為GodLoader的惡意軟體加載器。GodLoader偽裝成破解工具,誘騙使用者下載並感染設備。
編譯/Cynthia
Godot是一款免費且開源的遊戲引擎,廣泛應用於2D和3D遊戲開發,並支援Windows、macOS、Linux、Android、iOS等多平台部署。近期有安全專家發現,攻擊者利用這款引擎發動攻擊,開發出名為GodLoader的惡意軟體加載器。GodLoader偽裝成破解工具,誘騙使用者下載並感染設備,截至目前已造成至少17,000台設備受害。這起事件揭露開源軟體被惡意濫用的風險,不僅威脅開發者的數據安全,也提醒使用者提高警覺,選擇可信來源下載資源,以降低多平台攻擊風險。
GodLoader攻擊詳情
GodLoader的攻擊手段展現出高度創新性,核心在於利用修改過的GDScript(Godot引擎專用腳本語言)執行惡意命令,並將RedLine Stealer與XMRig加密貨幣挖礦程式植入受害者系統。攻擊者透過Bitbucket.org分發這些惡意檔案,並藉由Stargazers Ghost Network在GitHub上傳播,使用200多個儲存庫和超過225位關注者(Stargazers),讓惡意活動更具可信度。攻擊共分四波,累積數千次下載,隱蔽性極高。這種多層次的攻擊手法,既提高攻擊的滲透能力,也讓防禦變得更加困難,顯示社群平台在惡意軟體傳播中的潛在風險。
Godot官方回應說法
面對GodLoader攻擊事件,Godot官方安全團隊迅速回應,強調引擎本身不具備直接觸發惡意程式的功能,攻擊者需利用操作系統層級的漏洞才能完成攻擊鏈。他們提醒用戶,僅從可信來源下載軟體,以防範惡意程式入侵。Godot團隊澄清,Godot的腳本語言環境與Python或Ruby類似,並無更高的安全風險。這起事件突顯腳本語言的靈活性雖然強大,但也可能被惡意利用。開發者應充分了解工具的潛在風險,並採取適當的安全措施,確保使用環境的穩定與安全,避免因不當使用而成為攻擊目標。
提醒用戶安全風險
研究團隊指出,GodLoader的攻擊自2024年6月展開,隨技術手段逐步進化,規模不斷擴大,其跨平台感染能力顯示技術已達高度成熟。此次攻擊並非Godot引擎本身的漏洞,而是開發者與使用者忽視資源來源可信性,讓攻擊者有機可乘。專家呼籲,開發者與用戶應只下載官方資源,並加強對開源工具的安全認識與審查程序。隨著攻擊手法日益複雜,開發社群需攜手建立更嚴格的驗證機制與防禦措施。這次事件也提醒我們,任何開發工具都有成為攻擊目標的可能,需通過不斷合作與創新來面對未來更大的安全挑戰。
資料來源:CSO Online
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
這篇文章 遊戲引擎Godot遭惡意利用 開源軟體安全再受挑戰 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。
- 記者:李佩璇
- 更多科技新聞 »
