Los videojuegos son el pan de cada día para muchos: son un punto de encuentro para jugadores y desarrolladores, un espacio creativo que no para de crecer. Pero no todo es diversión, porque mientras más avanza la tecnología, más atentos están los hackers para sacar ventaja. ¿Lo último? Los hackers han lanzado un nuevo malware llamado GodLoader que aprovecha el popular motor de juegos Godot para pasar desapercibido y, en solo tres meses, ya logró infectar más de 17.000 sistemas.
Según un informe de Check Point Research, este malware está diseñado para atacar a jugadores en casi cualquier plataforma, incluyendo Windows, macOS, Linux, Android e incluso iOS. Lo preocupante es cómo los atacantes usan la flexibilidad de Godot y su lenguaje de programación GDScript para ejecutar código malicioso. Además, camuflan los scripts dañinos dentro de los archivos .pck del motor, que normalmente se usan para empaquetar los recursos de un juego, haciendo que sea muy difícil detectarlo.
Cuando se cargan, estos archivos maliciosos activan un código diseñado para robar credenciales o descargar más amenazas, como el famoso minero de criptomonedas XMRig. Lo curioso es que la configuración de este malware estaba alojada en un archivo privado de Pastebin desde mayo, el cual fue visitado más de 206,000 veces durante la campaña.
Desde finales de junio de 2024, los hackers han estado usando el motor Godot para ejecutar scripts en GDScript que lanzan comandos maliciosos y distribuyen malware. Lo preocupante es que esta técnica ha pasado casi completamente desapercibida para la mayoría de los antivirus en plataformas como VirusTotal, logrando infectar más de 17,000 dispositivos en cuestión de meses.
Lo que hace que esto sea aún más delicado es que Godot tiene una comunidad muy activa y en crecimiento gracias a su naturaleza de código abierto. Más de 2,700 desarrolladores contribuyen regularmente al proyecto, y el motor cuenta con una base sólida de fans en plataformas como Discord y YouTube, donde más de 80,000 personas siguen sus actualizaciones. Esto deja en claro por qué los hackers están enfocando sus esfuerzos en esta herramienta: saben que es ampliamente usada y confiable para muchos.
Cadena de ataque
Te podrá interesar leer: Descubren el Primer Malware Bootkit UEFI Dirigido a Linux
Los hackers detrás de GodLoader han estado utilizando una red llamada Stargazers Ghost Network, un servicio de distribución de malware (DaaS), para disfrazar sus actividades con repositorios de GitHub que parecen completamente legítimos.
Entre septiembre y octubre de 2024, desplegaron más de 200 repositorios controlados por al menos 225 cuentas falsas de Stargazers Ghost, aprovechándose de la confianza de los usuarios en plataformas de código abierto. Durante este tiempo, incitaron a desarrolladores y jugadores a descargar herramientas y juegos infectados, logrando que el malware llegara a los sistemas de sus víctimas.
Según Check Point, esta campaña tuvo al menos cuatro oleadas de ataques independientes entre el 12 de septiembre y el 3 de octubre, todas dirigidas principalmente a usuarios de sistemas Windows. Aunque, para poner las cosas peor, los investigadores también encontraron un código de prueba en GDScript que demuestra lo fácil que sería adaptar este malware para infectar sistemas Linux y macOS.
El grupo detrás de esto, conocido como Stargazer Goblin, lleva promocionando su red de distribución de malware en la dark web desde junio de 2023, aunque probablemente han estado activos desde agosto de 2022. En todo este tiempo, han ganado más de 100,000 dólares con su operación.
Su táctica clave es usar más de 3,000 cuentas falsas de GitHub para crear redes de repositorios maliciosos. Estas cuentas no solo alojan malware (como ladrones de información populares tipo RedLine, Lumma Stealer y RisePro), sino que también interactúan entre sí marcando "estrella", bifurcando y suscribiéndose a sus propios repositorios para que aparezcan en las secciones de tendencias de GitHub. Esto les da un aire de legitimidad y facilita que más usuarios caigan en la trampa.
Esta campaña maliciosa es otro ejemplo de cómo los hackers logran aprovechar servicios y herramientas legítimas para esquivar las medidas de seguridad. Por eso, es más importante que nunca descargar software únicamente de fuentes confiables y verificadas. Según Check Point, los atacantes están usando las capacidades de scripting de Godot para crear cargadores personalizados que son prácticamente invisibles para la mayoría de las soluciones de seguridad tradicionales.
La combinación de una estrategia de distribución muy dirigida y técnicas discretas ha llevado a tasas de infección sorprendentemente altas. Esta capacidad multiplataforma hace que el malware sea increíblemente versátil, permitiendo a los hackers atacar varios sistemas operativos al mismo tiempo. En pocas palabras, han encontrado una forma muy eficiente de maximizar el alcance y el impacto de sus ataques.
Rémi Verschelde, del equipo de seguridad de Godot Engine, quiso aclarar algunos puntos sobre esta situación. En su declaración, explicó que esta vulnerabilidad no es algo exclusivo de Godot. “Godot es un sistema de programación con un lenguaje de scripting, similar a entornos como Python o Ruby. Es posible escribir programas maliciosos en cualquier lenguaje de programación. No creemos que Godot sea más ni menos vulnerable que otras herramientas similares”, señaló.
Además, destacó que los usuarios que solo tienen instalado un juego o el editor de Godot en sus sistemas no están en riesgo. La recomendación es simple: ejecuta software únicamente de fuentes confiables.
Para entrar en detalles técnicos, Verschelde explicó que Godot no registra un controlador de archivos para los archivos ".pck", lo que significa que un atacante necesita incluir el entorno de ejecución completo de Godot junto con el archivo .pck para que el ataque funcione. El usuario tendría que descargar ambos archivos, descomprimirlos en el mismo lugar y luego ejecutar el entorno manualmente. En otras palabras, no existe un "exploit de un solo clic" en este caso, a menos que haya una vulnerabilidad en el sistema operativo del usuario. Incluso si eso ocurriera, Godot no sería una opción especialmente atractiva para los atacantes debido al tamaño de su entorno de ejecución.
Es una situación muy parecida a lo que ocurre con lenguajes como Python o Ruby: si alguien quiere distribuir malware en estos entornos, tendría que incluir el ejecutable (python.exe o ruby.exe) junto con su programa malicioso. Así que, al final del día, la clave sigue siendo la misma: no descargues cosas de fuentes dudosas.