Pesquisadores de segurança descobriram que cibercriminosos estão explorando o popular motor de jogos de código aberto Godot Engine para distribuir malware sofisticado em uma campanha chamada GodLoader, que já infectou mais de 17.000 sistemas desde junho de 2024. Essa abordagem permite aos atacantes implantar malwares em várias plataformas, incluindo Windows, macOS e Linux, ampliando consideravelmente a superfície de ataque.

O Godot Engine, amplamente utilizado para o desenvolvimento de jogos em 2D e 3D, está sendo explorado para executar códigos maliciosos escritos em GDScript, uma linguagem de script nativa da plataforma. Segundo os pesquisadores, o malware passa despercebido por quase todos os mecanismos antivírus disponíveis no VirusTotal, destacando a capacidade dos atacantes de evadir ferramentas tradicionais de segurança. A campanha GodLoader utiliza uma rede conhecida como Stargazers Ghost Network, composta por cerca de 200 repositórios no GitHub e mais de 225 contas falsas, para distribuir o malware.

Os repositórios maliciosos são promovidos por contas que “estrelam” o conteúdo, criando uma aparência de legitimidade. Essa estratégia, observada em ondas entre setembro e outubro de 2024, visa principalmente desenvolvedores, jogadores e usuários comuns. Os ataques envolvem o uso de executáveis do Godot, conhecidos como arquivos .PCK, para implantar o loader que, por sua vez, baixa e executa cargas maliciosas finais, como o RedLine Stealer e o minerador de criptomoedas XMRig, hospedados em repositórios do Bitbucket. O malware também adota táticas para contornar análises em ambientes virtualizados e inclui o disco C:\ inteiro nas exclusões do Microsoft Defender, dificultando sua detecção.