Sebuah penemuan baru-baru ini oleh Check Point Research telah mengungkapkan tren baru yang mengerikan yang memanfaatkan mesin atau engine game, khususnya pada skrip. Mesin game open-source populer, Godot Engine, telah dieksploitasi oleh pelaku ancaman untuk menjalankan skrip berbahaya yang disebut GodLoader, yang menginfeksi lebih dari 17.000 mesin.
Teknik inovatif ini memungkinkan penyerang untuk melakukan pencurian kredensial dan menyebarkan ransomware, menimbulkan risiko signifikan bagi 1,2 juta pengguna game yang dikembangkan Godot.
Godot Engine adalah platform pengembangan game open-source populer karena fleksibilitas dan perangkat yang komprehensif. Dirancang untuk membuat game 2D dan 3D, ini mendukung berbagai format ekspor, memfasilitasi jangkauan pengembang ke platform seperti Windows, macOS, Linux, Android, iOS, dan HTML5.
Dengan antarmuka yang ramah pengguna dan bahasa skrip seperti Python yang disebut GDScript, Godot memberdayakan pengembang dari semua tingkatan. Selain itu, komunitas aktifnya yang terdiri dari lebih dari 2.700 kontributor dan 80.000 pengikut di media sosial menyoroti popularitas dan dukungan khususnya. Namun, daya tarik ini sekarang dieksploitasi oleh penjahat dunia maya.
Pelaku ancaman telah memanfaatkan kemampuan skrip Godot untuk membuat loader khusus, yang disebut GodLoader, yang tetap tidak terdeteksi oleh banyak solusi keamanan konvensional. Karena arsitektur Godot memungkinkan pengiriman muatan platform-agnostik, penyerang dapat dengan mudah menyebarkan kode berbahaya di Windows, Linux, dan macOS, terkadang bahkan menjelajahi opsi Android.
Selain itu, kesederhanaan GDScript, dikombinasikan dengan kemampuan Godot untuk berintegrasi ke dalam berbagai sistem operasi, memungkinkan penyerang untuk melewati metode deteksi tradisional.
Sejak 29 Juni 2024, sebuah teknik baru yang memanfaatkan GodLoader berbahaya telah menghindari deteksi oleh sebagian besar alat antivirus, dilaporkan menginfeksi lebih dari 17.000 mesin dalam waktu tiga hingga empat bulan.
Eksploitasi Godot Engine bergantung pada penggunaan file .pck, yang menggabungkan aset game, termasuk skrip dan adegan, untuk didistribusikan. Ketika file-file ini dimuat, GDScript berbahaya dapat dieksekusi melalui fungsi callback bawaan. Fitur ini memberi penyerang banyak kemungkinan, mulai dari mengunduh malware tambahan hingga mengeksekusi muatan jarak jauh—semuanya tetap tidak terdeteksi.
Karena GDScript adalah bahasa yang berfungsi penuh, pelaku ancaman memiliki banyak fungsi seperti anti-sandbox, tindakan anti-mesin virtual, dan eksekusi muatan jarak jauh, memungkinkan malware tetap tidak terdeteksi. Sementara sampel awal telah menargetkan sistem Windows, sifat lintas platform Godot berarti bahwa sistem operasi lain juga bisa berisiko.
Loader memanfaatkan Stargazers Ghost Network, kerangka kerja Distribution as a Service (DaaS) canggih yang menyamar sebagai pengiriman malware melalui repositori GitHub yang tampaknya sah. Dari September hingga Oktober 2024, GodLoader didistribusikan melalui 200 repositori, didukung oleh lebih dari 225 akun Stargazer Ghost yang secara artifisial telah meningkatkan visibilitas repositori berbahaya ini dengan menatapnya.
Pendekatan ini menciptakan ilusi legitimasi, memikat pengembang dan gamer yang tidak curiga untuk menjadi korban. Repositori didistribusikan dan dirilis menjadi empat gelombang terpisah, terutama menargetkan pengembang dan gamer.
Implikasi dari ancaman baru ini sangat besar. Dengan pengembang sering mengakses dan memanfaatkan platform sumber terbuka seperti Godot Engine untuk pengembangan game, kemungkinan tanpa disadari memasukkan kode berbahaya ke dalam proyek mereka menjadi perhatian yang kredibel. Risiko juga meningkat bagi para gamer karena mereka mengunduh dan menginstal game yang mungkin telah dibuat dengan alat yang dikompromikan.
Selain itu, aktor ancaman di balik serangan ini mendistribusikan GodLoader menggunakan Stargazers Ghost Network, menunjukkan tingkat kecanggihan dan keberhasilan yang tinggi dalam kampanyenya. Jaringan mengeksploitasi kepercayaan pada repositori perangkat lunak sumber terbuka dan sah untuk mendistribusikan malware secara diam-diam.
Dengan menyamar sebagai aplikasi atau alat terkemuka, jaringan menarik pengguna yang tidak curiga yang mengunduh dan menginstal apa yang mereka yakini sebagai perangkat lunak yang aman. Pendekatan ini memungkinkan malware menyebar secara luas dan cepat, dengan ribuan pengguna terpengaruh relatif cepat.
Menggunakan strategi distribusi yang terfokus di samping metode terselubung dan tidak terdeteksi telah meningkatkan tingkat infeksi secara signifikan. Teknik multi-platform ini meningkatkan kemampuan beradaptasi malware, memberi penjahat dunia maya sumber daya yang tangguh yang dapat menargetkan berbagai sistem operasi dengan mulus. Akibatnya, penyerang dapat menyebarkan malware secara lebih efisien di berbagai perangkat, memperkuat jangkauan dan efektivitasnya.
Teknik GodLoader merupakan langkah signifikan ke arah aktivitas jahat yang lebih terselubung dan canggih. Untuk mengurangi risiko ancaman tersebut, penting untuk memperbarui sistem operasi dan aplikasi secara teratur dengan tambalan tepat waktu dan tindakan lainnya.
Pengguna harus waspada terhadap email atau pesan tak terduga yang menyertakan tautan, terutama dari sumber yang tidak dikenal sementara meningkatkan kesadaran keamanan siber sangat penting untuk menumbuhkan budaya yang lebih waspada dan berhati-hati. Terakhir, menghubungi pakar keamanan untuk pertanyaan atau masalah dapat menawarkan wawasan dan dukungan berharga dalam mengatasi kemungkinan masalah keamanan.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
