Фальшивые моды для Minecraft, крадущие персональные данные и криптокошельки, распространяются через аккаунты GitHub
Внимание всем поклонникам Minecraft. Будьте крайне осторожны с модами и инструментами, которые вы решаете установить. Они могут содержать нежелательную нагрузку в виде вредоносного ПО, которое украдет ваш логин от Minecraft, все учетные данные браузера, ваш профиль Steam и криптовалютные кошельки.
Как сообщает Bleeping Computer, компания по кибербезопасности Check Point Research обнаружила крупномасштабную вредоносную кампанию группировки Stargazers Ghost Network, которая использует популярную систему модификаций Minecraft для проведения так называемых атак "распространение-как-услуга" (DaaS).
Инструменты и моды распространяются через легитимно выглядящие аккаунты GitHub:
С марта 2025 года Check Point Research отслеживает вредоносные репозитории GitHub, нацеленные на пользователей Minecraft, с необнаруженным Java-загрузчиком. Эти репозитории якобы предоставляли моды для Minecraft и выглядели легитимно, так как несколько аккаунтов отметили эти репозитории звездами.
По всей видимости, репозитории GitHub содержат вредоносные Java-загрузчики с именами файлов, которые имитируют знакомые инструменты для читов и автоматизации в Minecraft.
Этот Java-загрузчик не обнаруживается ни одним антивирусным движком в VirusTotal, так как он сильно ориентирован на пользователей Minecraft, а движки "песочницы" не содержат необходимых зависимостей, которые позволили бы вредоносному ПО запуститься.
Что же происходит, если загрузчику удается запуститься?
После деобфускации мы можем наблюдать, что он крадет различные учетные данные из браузеров (Chromium, Edge, Firefox), файлы (с рабочего стола, из папки документы, %USERPROFILE%/Source), криптовалютные кошельки (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), VPN (ProtonVPN, OpenVPN, NordVPN), Steam, Discord, FileZilla, Telegram, а также собирает информацию о зараженной машине, такую как запущенные процессы, внешний IP-адрес, содержимое буфера обмена, и делает скриншот.
CPR считает, что "злоумышленник, стоящий за этими кампаниями, вероятно, российского происхождения" (так как код написан русскоязычным хакером, правда, это еще мало о чем говорит), и что этот случай подчеркивает, как популярные игровые сообщества могут быть использованы в качестве эффективных векторов для распространения вредоносного ПО, подчеркивая важность осторожности при загрузке стороннего контента.
Что касается того, что вы можете сделать, чтобы избежать таких атак, благоразумно будет загружать моды только от известных, проверенных издателей. Если вам предлагают загрузить мод с GitHub, будьте особенно осторожны. Избегайте чего-либо, что не имеет длинной и подробной истории.