Hauts les clics ! Si vous vous apprêtez à télécharger un mod sur Godot, vous pourriez bien finir par vous en mordre les doigts.
Si vous ne connaissez pas Godot, il s’agit d’un moteur de jeu open source très populaire, soutenu par une communauté dynamique de développeurs et de passionnés, qui bénéficie d’une réputation solide. Avec plus de 2 700 contributeurs et des milliers de donateurs finançant son développement, il incarne un modèle de collaboration et d’innovation. Mais depuis cet été, Godot essuie des cyberattaques en série : en quatre vagues successives, un malware baptisé GodLoader s’est propagé de manière exponentielle, au nez et à la barbe des internautes comme des systèmes de sécurité intégrés à GitHub.
C’est un mod ? Non, c’est un loader d’infostealers et de cryptojackers
Dans le détail, les attaquants ont exploité GDScript, langage de script propre à Godot, pour insérer discrètement le code malveillant de GodLoader dans des fichiers de projet. Une fois téléchargés et exécuté, ces scripts exécutent à leur tour du code malveillant pour charger et activer des malwares sur les appareils des utilisateurs et utilisatrices piégés.
Pour diffuser GodLoader, les cybercriminels ont misé sur le Stargazers Ghost Network. Ce réseau frauduleux, composé de milliers de faux comptes GitHub appelés Stargazers, héberge et promeut des dépôts infectés en leur attribuant de fausses étoiles et en réalisant des forks. Objectif : renforcer la crédibilité et la légitimité de ces projets vérolés pour contourner les systèmes de vérification GitHub et pousser les internautes à les télécharger. D’après Check Point Research, rien que sur la période septembre-octobre, environ 200 dépôts additionnels et plus de 225 Stargazers ont été utilisés pour légitimer les dépôts diffusant GodLoader.
Une fois installé, le loader télécharge et exécute plusieurs types de logiciels malveillants, comme des infostealers, capables de siphonner des identifiants ou des mots de passe, et des cryptojackers, qui exploitent la puissance de calcul des machines infectées pour miner des cryptomonnaies. Des attaques encore très efficaces étant donné leur caractère quasi indolore pour les victimes, qui perçoivent éventuellement des ralentissements sur leur système, mais ne les interprètent pas toujours comme des signes d’infection.
En dehors de l’infection en elle-même, si l’attaque est inquiétante, c’est surtout parce qu’elle échappe facilement à la vigilance de nombreux antivirus. D’après Check Point Research, ces fichiers passent presque inaperçus sur VirusTotal, ce qui leur aurait permis d’infecter plus de 17 000 machines depuis le mois de juin dernier, sur un ensemble de 1,2 million de cibles potentielles.
Une menace qui cible toutes les plateformes : protégez-vous
Autre force de GodLoader : sa capacité à cibler un large éventail de systèmes. Parce qu’il exploite les fonctionnalités multiplateformes de Godot, le malware peut infecter les appareils Windows, macOS, Linux, Android et iOS, sans distinction ni difficulté. Un coup dur pour la communauté open source dont le travail, accessible et transparent, est généralement perçu comme fiable.
Alors bien évidemment, il ne s’agit pas jeter le discrédit sur l’open source, loin de là. En revanche, GodLoader rappelle qu’adopter de bonnes pratiques n’est pas réservé au téléchargement de contenus propriétaires. Pensez donc toujours à vérifier la provenance des fichiers que vous téléchargez, en particulier lorsqu’il s’agit de mods ou de scripts. Privilégiez les dépôts officiels et restez vigilant face aux projets hébergés sur des plateformes ouvertes, même s’ils semblent populaires ou bien notés.
Veillez aussi à maintenir vos outils de développement et vos solutions de sécurité à jour. Les mises à jour permettent de combler les failles connues et de renforcer vos défenses contre les nouvelles menaces. Un antivirus performant reste indispensable pour analyser en temps réel les fichiers que vous téléchargez, même lorsqu’ils proviennent de sources réputées fiables.
Consigne est également donnée aux développeurs d’auditer régulièrement les scripts et les dépendances intégrées à leurs projets, pour éviter d’introduire accidentellement des vulnérabilités ou des menaces, et garantir la fiabilité de leurs créations.
Source : Check Point Research
21 novembre 2024 à 11h06
