Die neue Bedrohung durch die GodLoader-Malware richtet sich gegen die beliebte Open-Source-Spiele-Engine Godot. Hacker nutzen das Vertrauen der Community aus und gefährden damit Entwickler und ebenfalls Spieler weltweit. Die gesamte Open Source-Gemeinschaft wird in Mitleidenschaft gezogen.
Einschleusung der GodLoader-Malware
Viele Spieleentwickler schätzen die Godot-Engine. Diese Beliebtheit hat Cyberkriminelle aufmerksam gemacht. Sicherheitsforscher von Check Point Research haben herausgefunden. Dass Angreifer die .pck-Dateien der Engine als Tarnung für ihre Malware verwenden. Dies ermöglicht die Ausführung der Malware auf allen gängigen Betriebssystemen.
Verbreitungswege der Malware
Die GodLoader-Malware wird über ein ausgeklügeltes System betrieben: das Stargazers Ghost Network. Die Angreifer haben Hunderte gefälschte Repositories auf GitHub erstellt. Diese sehen auf den ersten Blick harmlos aus. Zwischen September und Oktober 2024 wurden über 200 dieser scheinbaren Projektverzeichnisse angelegt. Ihr Ziel war einzig die Verbreitung der GodLoader-Malware.
Antivirenprogramme versagen
Sicherheitsexperten sind besorgt. Die meisten Antivirenprogramme erkennen GodLoader nicht als Bedrohung. Auch die Analyseplattform VirusTotal hat die Malware weitgehend übersehen. Die Gefahr ist dadurch besonders groß. Die Schadsoftware stiehlt Zugangsdaten. Zusätzlich schleust sie Programme wie den Krypto-Miner XMRig ein. Dies geht aus einem aktuellen Bericht von Help Net Security hervor.
Hackergruppe Stargazer Goblin
Eine Hackergruppe namens Stargazer Goblin steht hinter den Angriffen. Sie betreibt das Stargazers Ghost Network als „Malware-Distribution-as-a-Service“. Diese Gruppe ist seit August 2022 aktiv. Mit verschiedenen Schadprogrammen wie RedLine und RisePro hat sie bereits erhebliche Einnahmen erzielt. Der jüngste Einsatz von GodLoader zeigt die Professionalität, mit der die Hacker arbeiten.
Angriffe auf Open Source: Kein Einzelfall
Die GodLoader-Malware ist nicht das erste Beispiel für einen solchen Angriff auf Open-Source-Plattformen. In den vergangenen Jahren gab es viele ähnliche Vorfälle. Die Seriosität und Offenheit von Open-Source-Projekten wird häufig ausgenutzt um Malware einzuschleusen. Ein prominentes Beispiel ist der Octopus Scanner. Dieser befiel 2020 über 26 Projekte auf GitHub.
Ein weiteres Beispiel: Event-Stream
Der Event-Stream-Vorfall von 2018 bleibt in Erinnerung. Hier wurde eine beliebte JavaScript-Bibliothek mit einer bösartigen Version aktualisiert. Der Angreifer gab sich als legitimer Entwickler aus. Insgesamt zeigte dieser Angriff, ebenso wie sehr das Vertrauen in Open-Source-Software ausgenutzt werden kann.
Typische Angriffsvektoren
Solche Vorfälle zeigen, dass Open-Source-Projekte sowie Vorteile als auch Risiken mit sich bringen. Angreifer nutzen die Offenheit um verschiedene Angriffsstrategien zu verfolgen:
- Manipulierte Repositories: Gefälschte Projekte werden auf vertrauenswürdigen Plattformen wie GitHub verbreitet.
- Kompromittierte Abhängigkeiten (Dependencies): Schadcode wird über Abhängigkeiten eingeschleust.
- Social Engineering: Angreifer nutzen Täuschung um Zugang zu bestehenden Projekten zu erlangen.
Unterschiede und Gemeinsamkeiten zu GodLoader
Der GodLoader-Angriff zeigt Ähnlichkeiten zu früheren Vorfällen. Er basiert auf der Verbreitung durch GitHub und der Nutzung scheinbar legitimer Repositories. Anders als frühere Angriffe zielt GodLoader jedoch auch auf die breite Nutzerbasis von Spieleplattformen ab. Angreifer erreichen dadurch potenziell weiterhin Opfer die möglicherweise nicht ausreichend technisches Wissen haben.
Schutz vor GodLoader-Malware
Der Schutz vor der GodLoader-Malware gestaltet sich als schwierig. Die Malware passt sich verschiedenen Betriebssystemen an. Aktuell konzentrieren sich die Angriffe hauptsächlich auf Windows. Experten warnen jedoch – dass eine Anpassung für Linux und macOS mit geringem Aufwand möglich ist. Entwickler sollten beim Herunterladen von Godot-Projekten besondere Vorsicht walten lassen.
Kommentare