GodLoader Malware Loader: Apa yang Perlu Anda Ketahui

Peneliti keamanan di Check Point Research telah menerbitkan laporan tentang GodLoader, sebuah loader malware yang menggunakan Godot sebagai runtime untuk menjalankan kode berbahaya dan menginfeksi pengguna yang tidak menyadarinya dengan malware yang dikenal. Berdasarkan laporan tersebut, pengguna yang terkena dampak mengira mereka mengunduh dan menjalankan crack untuk perangkat lunak berbayar, tetapi malah menjalankan loader malware.

\ Seperti yang dinyatakan dalam laporan, kerentanan ini tidak spesifik pada Godot. Godot Engine adalah sistem pemrograman dengan bahasa skrip. Ini mirip dengan, misalnya, runtime Python dan Ruby. Adalah mungkin untuk menulis program berbahaya dalam bahasa pemrograman apa pun. Kami tidak percaya bahwa Godot secara khusus lebih atau kurang cocok untuk melakukan hal tersebut dibandingkan program lain yang serupa.

\ Jika Anda mengunduh game Godot atau editor dari sumber yang terpercaya, Anda tidak perlu melakukan apa pun. Anda tidak berisiko. Kami mendorong orang untuk hanya menjalankan perangkat lunak dari sumber tepercaya – baik itu ditulis menggunakan Godot atau sistem pemrograman lainnya.

\ Untuk beberapa detail teknis lebih lanjut:

Godot tidak mendaftarkan penangan file untuk file .pck. Ini berarti bahwa aktor berbahaya selalu harus mengirimkan runtime Godot (file .exe) bersama dengan file .pck. Pengguna akan selalu harus membongkar runtime bersama dengan .pck ke lokasi yang sama dan kemudian menjalankan runtime tersebut. Tidak ada cara bagi aktor berbahaya untuk membuat "eksploit sekali klik", kecuali ada kerentanan tingkat OS lainnya. Jika kerentanan tingkat OS seperti itu digunakan, maka Godot tidak akan menjadi pilihan yang menarik karena ukuran runtime-nya.

\ Ini mirip dengan menulis perangkat lunak berbahaya di Python atau Ruby, aktor berbahaya harus mengirimkan python.exe atau ruby.exe bersama dengan program berbahaya mereka.

Praktik keamanan yang baik

Kami ingin mengambil kesempatan ini untuk mengingatkan pengguna tentang beberapa praktik keamanan yang baik ketika mengunduh dan menjalankan perangkat lunak.

\

• Hanya unduh dan jalankan perangkat lunak (termasuk mod game) dari sumber tepercaya:
• Situs web proyek resmi. Konfirmasikan dengan memeriksa URL, dan verifikasi dengan mesin pencari bahwa ini tampaknya menjadi situs web yang paling sering dirujuk untuk perangkat lunak ini.
• Platform distribusi tepercaya: Steam, Epic Games Store, Windows Store, Google Play, Apple Store, dll.
• Orang yang Anda kenal, setelah mengkonfirmasi bahwa mereka adalah siapa yang mereka klaim jika komunikasi berbasis teks (lihat di bawah).
• Di Windows dan macOS, verifikasi bahwa executable ditandatangani (dan dinotarisasi, di macOS) oleh pihak tepercaya.
• Berhati-hatilah saat menjalankan perangkat lunak bajakan, yang merupakan vektor serangan utama bagi aktor berbahaya.
• Berhati-hatilah saat menjalankan perangkat lunak bahkan dari orang yang Anda kenal, jika Anda tidak dapat mengkonfirmasi bahwa akun mereka tidak disusupi. Vektor serangan yang sangat umum yang menargetkan khususnya pengembang game adalah akun Discord yang diretas, dan kemudian aktor berbahaya menggunakannya untuk mengirim unduhan berbahaya kepada teman-teman mereka dalam pesan pribadi ("hei, maukah kamu mencoba game saya?"). Pastikan untuk mengkonfirmasi identitas kontak Anda sebelum menjalankan perangkat lunak tersebut.

Melaporkan masalah keamanan

Kami berterima kasih kepada Check Point Research karena mengikuti pedoman keamanan pengungkapan yang bertanggung jawab, yang memungkinkan kami mengkonfirmasi bahwa vektor serangan ini, meskipun disayangkan, tidak spesifik pada Godot dan tidak mengekspos kerentanan dalam mesin atau bagi penggunanya.

\ Jika Anda ingin melaporkan kerentanan keamanan atau kekhawatiran, silakan kirim email ke [email protected].

Oleh Tim Keamanan Godot

\ Juga dipublikasikan di sini

\ Foto oleh Ümit Yıldırım di Unsplash