Cargador de malware GodLoader: Lo que necesitas saber

Los investigadores de seguridad de Check Point Research han publicado un informe sobre GodLoader, un cargador de malware que utiliza Godot como su entorno de ejecución para ejecutar código malicioso e infectar a usuarios desprevenidos con malware conocido. Según el informe, los usuarios afectados pensaban que estaban descargando y ejecutando cracks para software de pago, pero en su lugar ejecutaron el cargador de malware.

\ Como indica el informe, la vulnerabilidad no es específica de Godot. El motor Godot es un sistema de programación con un lenguaje de scripting. Es similar a, por ejemplo, los entornos de ejecución de Python y Ruby. Es posible escribir programas maliciosos en cualquier lenguaje de programación. No creemos que Godot sea particularmente más o menos adecuado para hacerlo que otros programas similares.

\ Si descargaste un juego de Godot o el editor desde una fuente confiable, no tienes que hacer nada. No estás en riesgo. Animamos a las personas a ejecutar software solo de fuentes confiables, ya sea escrito usando Godot o cualquier otro sistema de programación.

\ Para algunos detalles técnicos más:

Godot no registra un manejador de archivos para archivos .pck. Esto significa que un actor malicioso siempre tiene que enviar el entorno de ejecución de Godot (archivo .exe) junto con un archivo .pck. El usuario siempre tendrá que descomprimir el entorno de ejecución junto con el .pck en la misma ubicación y luego ejecutar el entorno. No hay forma de que un actor malicioso cree un "exploit de un solo clic", salvo otras vulnerabilidades a nivel del sistema operativo. Si se utilizara tal vulnerabilidad a nivel del sistema operativo, Godot no sería una opción particularmente atractiva debido al tamaño del entorno de ejecución.

\ Esto es similar a escribir software malicioso en Python o Ruby, el actor malicioso tendrá que enviar un python.exe o ruby.exe junto con su programa malicioso.

Buenas prácticas de seguridad

Nos gustaría aprovechar esta oportunidad para recordar a los usuarios algunas buenas prácticas de seguridad cuando se trata de descargar y ejecutar software.

\

• Descarga y ejecuta software (incluidos mods de juegos) solo de fuentes confiables:
• Sitio web oficial del proyecto. Confírmalo verificando la URL y comprueba con un motor de búsqueda que parece ser el sitio web más frecuentemente referenciado para este software.
• Plataforma de distribución confiable: Steam, Epic Games Store, Windows Store, Google Play, Apple Store, etc.
• Personas que conoces, después de confirmar que son quienes dicen ser si la comunicación es basada en texto (ver abajo).
• En Windows y macOS, verifica que el ejecutable esté firmado (y notarizado, en macOS) por una parte confiable.
• Ten cuidado al ejecutar software crackeado, que es un vector de ataque principal para actores maliciosos.
• Ten cuidado al ejecutar software incluso de personas que conoces, si no puedes confirmar que su cuenta no ha sido comprometida. Un vector de ataque muy común dirigido específicamente a desarrolladores de juegos es que las cuentas de Discord sean hackeadas, y luego los actores maliciosos las utilizan para enviar descargas maliciosas a sus amigos en mensajes privados ("¿oye, probarías mi juego?"). Asegúrate de confirmar la identidad de tus contactos antes de ejecutar dicho software.

Reportando problemas de seguridad

Agradecemos a Check Point Research por seguir las directrices de seguridad de divulgación responsable, que nos permitieron confirmar que este vector de ataque, aunque desafortunado, no es específico de Godot y no expone una vulnerabilidad en el motor o para sus usuarios.

\ Si deseas reportar una vulnerabilidad o preocupación de seguridad, envía un correo electrónico a security@godotengine.org.

Por el Equipo de Seguridad de Godot

\ También publicado aquí

\ Foto de Ümit Yıldırım en Unsplash