Fałszywe mody Minecraft na GitHub znalezione kradnące dane graczy

Nowa kampania malware atakuje graczy Minecrafta za pomocą fałszywych pobrań modów, zgodnie z najnowszymi ustaleniami Check Point Research (CPR). Udostępnione za pośrednictwem GitHub i zamaskowane jako popularne mody do oszukiwania w Minecraft , pliki niosą ze sobą wielowarstwową infekcję, która może ukraść wszystko, od zapisanych haseł po kryptowalutę.

Kampania, która pojawiła się w marcu 2025 r., koncentrowała się na aktywnych graczach używających modów w celu ulepszenia rozgrywki. Mody takie jak Oringo i Taunahi, powszechnie znane w społeczności oszustów Minecraft, były naśladowane w celu przyciągnięcia pobrań. Jednak zamiast dodatkowych funkcji pliki te instalowały złośliwe oprogramowanie w trzech etapach.

Według wpisu na blogu CPR, najpierw pojawił się downloader oparty na Javie. Po potwierdzeniu, że użytkownik uruchamia Minecraft, a nie środowisko sandboxowe lub wirtualne, porzucił pobieranie złodzieja drugiego etapu, który zbierał dane logowania i inne poufne pliki.

Ostatni ładunek, bardziej zaawansowane narzędzie szpiegujące, kopało jeszcze głębiej. Skanowało dane w Discord, Steam, Telegram, przeglądarkach internetowych i portfelach kryptowalut . Mogło również robić zrzuty ekranu i zbierać szczegóły techniczne z zainfekowanej maszyny. Dane skradzione w ramach tej kampanii były następnie wysyłane przez Discord, co utrudniało wykrycie eksfiltracji.

Wskazówki z kodu złośliwego oprogramowania, w tym komentarze w języku rosyjskim i wzorce aktywności oparte na UTC+3, wskazują na rosyjskojęzycznego aktora zagrożenia. Operacja była powiązana z grupą Check Point określaną jako Stargazers Ghost Network, systemem dostarczania złośliwego oprogramowania, który wykorzystuje model dystrybucji jako usługi. Ten sam system był wcześniej widziany w lipcu 2024 r., dystrybuując złośliwe oprogramowanie za pośrednictwem ponad 3000 fałszywych kont GitHub.

W najnowszym oszustwie Minecraft, badania CPR prześledziły również kampanię w kilku repozytoriach GitHub, z których każde podszywało się pod legalne narzędzia modów. Pomogło to złośliwemu oprogramowaniu osiągnąć zasięg, unikając natychmiastowego podejrzenia. Na podstawie wewnętrznej analizy ruchu, badacze szacują, że co najmniej 1500 urządzeń mogło zostać naruszonych.

Globalna popularność Minecrafta sprawia, że ​​jest to główny cel tego typu ataków. Z ponad 200 milionami aktywnych użytkowników miesięcznie i ponad milionem modderów gra zbudowała rozległą infrastrukturę treści tworzonych przez użytkowników. Wielu graczy jest młodych i może nie być dobrze przygotowanych do wykrywania fałszywych pobrań, szczególnie gdy są one prezentowane jako wzmacniacze wydajności lub oszustwa.

Społeczność modderów rozwija się dzięki otwartemu udostępnianiu, ale ta otwartość stała się podatnością. Atakujący zakładają, że użytkownicy nie sprawdzą dwukrotnie pochodzenia moda, jeśli wygląda znajomo.

Właśnie dlatego w październiku 2021 r. Minecraft został uznany zagrę najczęściej zainfekowaną złośliwym oprogramowaniem po tym, jak badacze odkryli 44 335 zainfekowanych urządzeń i ponad 300 000 przypadków złośliwego oprogramowania wymierzonych w jej graczy.

Ten atak to kolejny przykład tego, jak znane platformy internetowe, zwłaszcza te używane przez młodszą publiczność, stają się kanałami dystrybucji złośliwego oprogramowania. Jeśli jesteś graczem Minecrafta lub rodzicem dziecka, to dobry moment, aby sprawdzić swoje urządzenia i nawyki:

• Wybieraj mody ze znanych i sprawdzonych platform.
• Upewnij się, że Twoje oprogramowanie antywirusowe i aktualizacje zabezpieczeń są aktualne.
• Unikaj wszelkich modów, które oferują hacki, oszustwa lub automatyzację.
• Monitoruj konta powiązane z Discordem, platformami gier i portfelami kryptowalut pod kątem podejrzanej aktywności.