最近，Check Point Research发布了一项重大研究，揭露了黑客利用流行的Godot游戏引擎来传播恶意软件的事件，而这一恶意软件被称为GodLoader。该恶意软件的目标包括Windows、macOS和Linux平台，自2024年6月以来，已感染超过17,000台设备。此事件再次提醒了我们在当前网络安全环境下保护个人和组织重要性的。

GodLoader 利用多个策略来跨越传统的安全防线，这使得安全团队很难侦测到该恶意软件的活动。特别的是，GodLoader采用了沙盒逃避技术和Microsoft Defender的排除项，从而增强了其隐蔽性。根据研究显示，该恶意软件通过在GitHub上托管的多个存储库和225个账户进行分发，展现了其高效的传播能力。研究表明，受害者多达1.2百万用户，这些用户使用的是由Godot开发的游戏。

Godot引擎是一款值得信赖且功能强大的游戏开发工具，支持开发者将游戏资源和脚本打包成.pck文件格式，这些文件中包含了游戏的必要资源，例如图片、声音和脚本。然而，黑客通过将恶意GDScript代码嵌入这些.pck文件中，成功欺骗了游戏引擎对其进行执行，实现了恶意代码的下载安装到受害者的设备上。

攻击者的攻击流并不复杂，然而其使用是极具隐蔽性的。攻击者利用Godot引擎的灵活性，通过创建复杂的代码结构来保证恶意代码得以执行。通常情况下，用户会被诱导下载一个看似无害的文件，通常是伪装成软件破解的.pck文件，该文件本身不能单独运行，而攻击者还需要提供Godot运行时的.exe文件以确保这一过程成功。这一特点反映了现今恶意软件的“双重特性”，即不仅依赖于技术实现，也依赖于社会工程策略。

对于如何有效保护自己，Godot团队已经发出警告，强调用户应该只从可信来源下载软件，避免使用破解文件，因为破解软件往往是恶意活动的目标。Windows和macOS用户应查阅可靠方的数字签名和公证，以确保软件的安全性。

此类恶意软件的发现不仅揭示了神秘的黑客组织的攻击模式，也向软件开发者和用户敲响了警钟。对于使用开源工具的行业，从业者尤其应增强安全意识，并确保其使用的代码和资源源于可信来源。应注意的是，黑客并非只是攻击某个特定软件本身，而是利用了其可编程性，显然，这是一种针对软件系统整体可用性和信任度的长期攻击策略。

转向其他的黑客活动，除了Godot引擎的恶意软件传播外，eBPF技术的恶意利用同样令人担忧。根据Dr. Web的最新报告，黑客利用Linux的eBPF技术展开一场恶意软件的持续攻击。这一技术本是为了提升Linux操作系统的网络功能而设计的，但其独特的低层能力被黑客所利用，以隐藏活动、收集数据并绕过安全措施。

当前，eBPF恶意软件的数量在持续增长，其中包括如Boopkit和 BPFDoor等多个家族。在刚刚过去的2024年，研究中发现了超过100个新漏洞，这使得局势变得愈加严峻。黑客再也不需要依赖于传统的私有服务器作为指挥中心，他们采取将恶意软件配置存储在GitHub等公共平台的策略。这种方式使得恶意流量在网络活动中显得合法化，同时降低了黑客被检测到的风险。

从各种角度来看，黑客的行为正越来越具组织化和复杂性。这使得国家安全部门以及广大企业和个人用户必须不断升级安全防护措施，以应对日益复杂的网络安全威胁。从长远来看，维护网络安全的未来不仅需要技术手段的更新，更需要用户自我安全意识的提升和良好的安全习惯的养成。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课