GodLoader : un malware dissimulé dans vos jeux Godot

GodLoader, un malware récemment découvert, a déjà infecté des milliers de joueurs à travers des jeux créés avec Godot. Ce virus exploitant une vulnérabilité du moteur se propage en toute discrétion, rendant sa détection particulièrement complexe. Mais quelles sont les capacités de ce malware ?

Godot : une faille exploitée dans ses fichiers de ressources

La faille permettant à GodLoader d’infecter les joueurs réside dans les fichiers « .pck », utilisés par Godot pour regrouper les ressources du jeu. Ces fichiers, qui contiennent des éléments comme les graphismes, sons ou scripts, peuvent être modifiés par des cybercriminels pour y intégrer du code malveillant. Une fois le jeu téléchargé et lancé, le malware s’exécute discrètement en arrière-plan, compromettant la sécurité du système sans que l’utilisateur s’en rende compte.

Des chercheurs en cybersécurité de Check Point ont découvert cette vulnérabilité après avoir identifié des schémas récurrents d’infections dans des jeux basés sur Godot. Concrètement, les attaquants diffusent GodLoader via Stargazers Ghost, un réseau spécialisé dans la distribution de logiciels malveillants (DaaS). Ce service cache ses activités à travers des dépôts GitHub apparemment légitimes.

Cette méthode de propagation rend la menace d’autant plus redoutable, car les jeux infectés semblent provenir de sources fiables ou de communautés de joueurs bien connues. Selon leur rapport, « Depuis le 29 juin 2024 au moins, les cybercriminels profitent de Godot Engine pour exécuter du code GDScript spécialement conçu qui déclenche des commandes malveillantes et diffuse des malwares. Cette technique est restée non détectée par la plupart des outils antivirus sur VirusTotal, infectant probablement plus de 17 000 machines en quelques mois seulement ».

A malware loader, “GodLoader,” has been found exploiting the Godot runtime. This highlights the importance of only downloading software from trusted sources.

Full details: https://t.co/z6tK8cHeye

— Godot Engine (@godotengine) November 28, 2024

Quels risques pour les joueurs ?

Les logiciels malveillants diffusés via GodLoader incluent des programmes tels que RedLine, Lumma Stealer, Rhadamanthys, RisePro et Atlantida Stealer. Ces malwares permettent aux hackers de voler des identifiants de connexion, mots de passe et des données bancaires. Ces attaques représentent une menace majeure pour les joueurs, notamment ceux qui effectuent des transactions en ligne régulières.

Rémi Verschelde, mainteneur de Godot Engine et membre de l’équipe de sécurité, a clarifié la situation dans une déclaration à Bleeping Computer. Il précise que, comme avec Python et Ruby, il est « possible d’écrire des programmes similaires dans tout langage de programmation. »

Selon lui, Godot n’intègre pas de gestionnaire de fichiers pour les fichiers « .pck », ce qui oblige un acteur malveillant à inclure le runtime Godot avec ces fichiers pour les exploiter. L’utilisateur doit ainsi décompresser et exécuter ces éléments au même endroit.

Il n’est donc pas possible de créer un « exploit en un clic », sans une faille préexistante au niveau du système d’exploitation, « ce qui rendrait Godot moins attractif pour une telle exploitation, en raison de la taille du runtime », conclut-il.