一场大规模的恶意软件活动专门针对《我的世界》玩家,他们使用恶意模型和欺骗手段感染Windows设备,通过信息窃取器窃取凭证、身份验证令牌和加密货币钱包。
该活动由Check Point Research发现,由Stargazers Ghost Network进行,并利用《我的世界》大规模建模生态系统和GitHub等合法服务来吸引大量潜在目标受众。
Check Point在Pastebin链接上看到了成千上万的浏览量或点击量,这些浏览量被威胁者用来向目标设备发送有效载荷,此次活动的影响范围广泛。
隐秘的Minecraft恶意软件
Stargazers幽灵网络是一种自去年以来活跃在GitHub上的分发即服务(DaaS)操作,首次被Check Point记录在涉及3000个传播虚假信息的账户的活动中。
同样的操作,由虚假的GitHub星标推动,被观察到在2024年底感染了超过17000个系统,使用了一种新型的基于Godot的恶意软件。
由Check Point研究人员Jaromír Hořejší和Antonis Terefos描述的最新活动用Java恶意软件攻击《我的世界》,该恶意软件可以逃避所有反病毒引擎的检测。
研究人员发现了多个由Stargazers运行的GitHub存储库,伪装成《我的世界》(Minecraft)模型和Skyblock Extras、Polar Client、FunnyMap、Oringo和Taunahi等作弊工具。
Antonis Terefos表示目前已经确定了大约500个GitHub存储库,包括那些分叉或复制的,它们是针对《我的世界》玩家的行动的一部分。另外,还看到了大约70个账户产生的700颗星星。
参与此操作的四个存储库
一旦在Minecraft中执行,第一阶段的JAR加载器使用base64编码的URL从Pastebin下载下一阶段,获取基于java的窃取器。
这个窃取者的目标是Minecraft账户令牌和来自Minecraft启动器和流行的第三方启动器(如Feather, Lunar和Essential)的用户数据。
它还试图窃取Discord和Telegram帐户令牌,通过HTTP POST请求将窃取的数据发送到攻击者的服务器。
Java窃取程序还可以作为下一阶段的加载程序,这是一个基于。net的窃取程序,名为“44 CALIBER”,这是一个更“传统”的信息窃取程序,试图窃取存储在网络浏览器、VPN帐户数据、加密货币钱包、Steam、Discord和其他应用程序中的信息。
感染链概述
44 CALIBER还收集系统信息和剪贴板数据,并可以抓取受害者电脑的屏幕截图。
研究人员说:“在去混淆之后,我们可以观察到它从浏览器(Chromium, Edge, Firefox),文件(Desktop, Documents, %USERPROFILE%/Source)
事件背景
《我的世界》玩家近期成为黑客组织Stargazers的攻击目标,该团伙通过恶意软件劫持玩家账户,窃取浏览器凭证、加密货币钱包及Discord令牌等敏感信息。攻击手段结合了虚假3D建模资源与GitHub仓库的代码植入,形成隐蔽传播链条。
攻击手法分析
恶意建模生态利用
黑客在《我的世界》模组(Mod)社区发布虚假高分辨率材质包或3D模型工具,诱导玩家下载。这些文件捆绑了恶意代码,运行后会在后台植入信息窃取程序,优先针对游戏账号及关联平台(如微软账户)。
GitHub仓库伪装
攻击者创建看似合法的GitHub项目,声称提供游戏插件或模组开发工具。实际代码仓库中隐藏了自动化脚本,用于下载和执行远程恶意负载。部分仓库甚至通过伪造“Star”(点赞)数量提升可信度。
窃取数据类型
- 浏览器保存的登录凭证(Chrome/Firefox/Edge)
- 加密货币钱包私钥(如Metamask、Exodus)
- Discord账号令牌(可能导致群组管理权限泄露)
- 本地文件系统敏感文档(如屏幕截图、文本记录)
防御建议
玩家侧防护措施
仅从官方平台(如CurseForge、官方模组市场)下载资源,避免第三方小众网站。安装前使用杀毒软件扫描压缩包,检查文件签名。启用微软账户的两步验证(2FA),定期更换密码。
开发者侧注意事项
克隆GitHub项目时验证作者身份,检查代码差异(尤其是Pull Request中的可疑改动)。使用沙盒环境测试第三方库,避免直接在生产环境运行未经验证的脚本。
事件响应状态
微软及Mojang已发布安全公告,建议玩家检查账户登录历史。部分GitHub恶意仓库已被下架,但攻击者仍在更新域名和分发渠道。网络安全机构建议受感染用户立即重置所有关联密码并冻结支付功能。
加密货币钱包(Armory, AtomicWallet, bitcoore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), vpn (ProtonVPN, OpenVPN, NordVPN), Steam, Discord, FileZilla, Telegram中窃取各种凭证。”
被盗数据是通过Discord的网络钩子泄露出来的,并附有俄罗斯的评论。这个线索,结合UTC+3提交时间戳,表明这个活动的操作者是俄罗斯人。
Check Point在其报告的底部分享了完整的入侵指标(ioc),以帮助检测和阻止威胁。
为了确保安全,微软玩家应该只从信誉良好的平台和经过验证的社区门户网站下载mod。如果提示从GitHub下载,请检查启动、分叉和贡献者的数量,仔细检查提交是否有虚假活动的迹象,并检查存储库上最近的操作。最后,谨慎的做法是在测试mod时使用单独的“burner”Minecraft账户,避免登录到其主账户。
扫一扫
705
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
