遊戲引擎Godot遭惡意利用 開源軟體安全再受挑戰李佩璇 (2024-12-02 11:00:10)

近期有安全專家發現，攻擊者利用這款引擎發動攻擊，開發出名為GodLoader的惡意軟體加載器。GodLoader偽裝成破解工具，誘騙使用者下載並感染設備。

編譯／Cynthia

Godot是一款免費且開源的遊戲引擎，廣泛應用於2D和3D遊戲開發，並支援Windows、macOS、Linux、Android、iOS等多平台部署。近期有安全專家發現，攻擊者利用這款引擎發動攻擊，開發出名為GodLoader的惡意軟體加載器。GodLoader偽裝成破解工具，誘騙使用者下載並感染設備，截至目前已造成至少17,000台設備受害。這起事件揭露開源軟體被惡意濫用的風險，不僅威脅開發者的數據安全，也提醒使用者提高警覺，選擇可信來源下載資源，以降低多平台攻擊風險。

GodLoader攻擊詳情

GodLoader的攻擊手段展現出高度創新性，核心在於利用修改過的GDScript（Godot引擎專用腳本語言）執行惡意命令，並將RedLine Stealer與XMRig加密貨幣挖礦程式植入受害者系統。攻擊者透過Bitbucket.org分發這些惡意檔案，並藉由Stargazers Ghost Network在GitHub上傳播，使用200多個儲存庫和超過225位關注者（Stargazers），讓惡意活動更具可信度。攻擊共分四波，累積數千次下載，隱蔽性極高。這種多層次的攻擊手法，既提高攻擊的滲透能力，也讓防禦變得更加困難，顯示社群平台在惡意軟體傳播中的潛在風險。

更多新聞：網路攻擊日均6億次 Microsoft數據示警

Godot官方回應說法

面對GodLoader攻擊事件，Godot官方安全團隊迅速回應，強調引擎本身不具備直接觸發惡意程式的功能，攻擊者需利用操作系統層級的漏洞才能完成攻擊鏈。他們提醒用戶，僅從可信來源下載軟體，以防範惡意程式入侵。Godot團隊澄清，Godot的腳本語言環境與Python或Ruby類似，並無更高的安全風險。這起事件突顯腳本語言的靈活性雖然強大，但也可能被惡意利用。開發者應充分了解工具的潛在風險，並採取適當的安全措施，確保使用環境的穩定與安全，避免因不當使用而成為攻擊目標。

提醒用戶安全風險

研究團隊指出，GodLoader的攻擊自2024年6月展開，隨技術手段逐步進化，規模不斷擴大，其跨平台感染能力顯示技術已達高度成熟。此次攻擊並非Godot引擎本身的漏洞，而是開發者與使用者忽視資源來源可信性，讓攻擊者有機可乘。專家呼籲，開發者與用戶應只下載官方資源，並加強對開源工具的安全認識與審查程序。隨著攻擊手法日益複雜，開發社群需攜手建立更嚴格的驗證機制與防禦措施。這次事件也提醒我們，任何開發工具都有成為攻擊目標的可能，需通過不斷合作與創新來面對未來更大的安全挑戰。

資料來源：CSO Online

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

這篇文章 遊戲引擎Godot遭惡意利用 開源軟體安全再受挑戰 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。