محمل البرامج الضارة GodLoader: ما تحتاج إلى معرفته

نشر باحثو الأمن في Check Point Research تقريرًا حول GodLoader، وهو برنامج تحميل برمجيات خبيثة يستخدم Godot كبيئة تشغيل لتنفيذ التعليمات البرمجية الضارة وإصابة المستخدمين غير المدركين ببرامج ضارة معروفة. استنادًا إلى التقرير، اعتقد المستخدمون المتضررون أنهم كانوا يقومون بتنزيل وتنفيذ برامج كسر الحماية للبرامج المدفوعة، لكنهم بدلاً من ذلك قاموا بتنفيذ محمل البرامج الضارة.

\ كما يذكر التقرير، فإن الثغرة الأمنية ليست خاصة بـ Godot. محرك Godot هو نظام برمجة مع لغة نصية. وهو مشابه، على سبيل المثال، لبيئات تشغيل Python و Ruby. من الممكن كتابة برامج ضارة بأي لغة برمجة. نحن لا نعتقد أن Godot مناسب بشكل خاص أكثر أو أقل للقيام بذلك من البرامج الأخرى المماثلة.

\ إذا قمت بتنزيل لعبة Godot أو المحرر من مصدر موثوق، فلا داعي للقيام بأي شيء. أنت لست في خطر. نشجع الناس على تنفيذ البرامج فقط من مصادر موثوقة - سواء كانت مكتوبة باستخدام Godot أو أي نظام برمجة آخر.

\ لبعض التفاصيل التقنية الإضافية:

لا يقوم Godot بتسجيل معالج ملفات لملفات .pck. هذا يعني أن الجهة الخبيثة يجب أن ترسل دائمًا بيئة تشغيل Godot (ملف .exe) مع ملف .pck. سيتعين على المستخدم دائمًا فك ضغط بيئة التشغيل مع .pck إلى نفس الموقع ثم تنفيذ بيئة التشغيل. لا توجد طريقة للجهة الخبيثة لإنشاء "استغلال بنقرة واحدة"، باستثناء ثغرات أمنية أخرى على مستوى نظام التشغيل. إذا تم استخدام مثل هذه الثغرة على مستوى نظام التشغيل، فلن يكون Godot خيارًا جذابًا بشكل خاص بسبب حجم بيئة التشغيل.

\ هذا مشابه لكتابة برامج ضارة في Python أو Ruby، حيث سيتعين على الجهة الخبيثة إرسال python.exe أو ruby.exe مع برنامجهم الضار.

ممارسات الحماية الجيدة

نود أن ننتهز هذه الفرصة لتذكير المستخدمين ببعض ممارسات الحماية الجيدة عندما يتعلق الأمر بتنزيل البرامج وتنفيذها.

\

• قم بتنزيل وتنفيذ البرامج (بما في ذلك تعديلات الألعاب) من مصادر موثوقة فقط:
• الموقع الرسمي للمشروع. قم بتأكيد ذلك من خلال التحقق من عنوان URL، والتحقق باستخدام محرك بحث أن هذا يبدو أنه الموقع الأكثر إشارة إليه لهذا البرنامج.
• منصة توزيع موثوقة: Steam، Epic Games Store، Windows Store، Google Play، Apple Store، إلخ.
• أشخاص تعرفهم، بعد التأكد من أنهم من يدعون أنهم إذا كان التواصل نصيًا (انظر أدناه).
• على Windows و macOS، تحقق من أن الملف التنفيذي موقع (ومصدق عليه، على macOS) من قبل جهة موثوقة.
• كن حذرًا من تنفيذ البرامج المكسورة الحماية، والتي تعد متجهًا رئيسيًا للهجوم للجهات الخبيثة.
• كن حذرًا من تنفيذ البرامج حتى من الأشخاص الذين تعرفهم، إذا لم تتمكن من التأكد من أن حسابهم لم يتم اختراقه. أحد متجهات الهجوم الشائعة جدًا التي تستهدف مطوري الألعاب على وجه التحديد هو اختراق حسابات Discord، ثم تستخدمها الجهات الخبيثة لإرسال تنزيلات ضارة إلى أصدقائهم في الرسائل الخاصة ("مرحبًا، هل ستجرب لعبتي؟"). تأكد من تأكيد هوية جهات الاتصال الخاصة بك قبل تنفيذ مثل هذه البرامج.

الإبلاغ عن مشكلات الحماية

نشكر Check Point Research لاتباع إرشادات الحماية للكشف المسؤول، والتي سمحت لنا بتأكيد أن متجه الهجوم هذا، على الرغم من أنه مؤسف، ليس خاصًا بـ Godot ولا يكشف عن ثغرة أمنية في المحرك أو لمستخدميه.

\ إذا كنت ترغب في الإبلاغ عن ثغرة أمنية أو مخاوف، يرجى إرسال بريد إلكتروني إلى security@godotengine.org.

بواسطة فريق حماية Godot

\ نُشر أيضًا هنا

\ صورة بواسطة Ümit Yıldırım على Unsplash