Через фейковые моды для Minecraft распространяется троян: украдены токены, пароли и кошельки

Исследователи Check Point обнаружили многоступенчатую кампанию распространения вредоносных модов для Minecraft, за которой стоит группа Stargazers Ghost Network. Злоумышленники размещают фальшивые моды на GitHub под видом популярных скриптов Oringo, Taunahi и других, маскируя их под легальные модификации для клиента Forge 1.8.9. Все этапы атаки ориентированы на систему, где установлен Minecraft, что помогает обходить антивирусные системы.

На первом этапе жертва вручную устанавливает JAR-мод, который, пройдя анализ виртуальной среды и системных процессов, загружает второй компонент — Java Stealer. Этот модуль крадёт токены Minecraft-лаунчеров (Feather, Lunar, Essential), Discord, Telegram и IP-адрес пользователя. На третьем этапе запускается .NET-стилер с обширным набором функций, включая кражу браузерных паролей, криптокошельков (Bitcoin, Monero, Zcash и др.), VPN-учётных данных, файлов Steam и даже скриншотов рабочего стола.

Инфраструктура атаки работает через Pastebin и внешний сервер 147.45.79.104. Вредоносный код содержит артефакты и комментарии на русском языке, а активности коммитов на GitHub указывают на часовой пояс UTC+3, что позволяет предположить русскоязычное происхождение группировки. Имя одного из авторов — JoeBidenMama — используется в Pastebin для получения ссылок и статистики заражений (более 1500 загрузок).

Особое внимание заслуживает тот факт, что вредоносные моды полностью реализованы на Java и эффективно маскируются под Forge-плагины. Они не определяются системами безопасности, так как не запускаются вне Minecraft. Это подчёркивает опасность загрузки модификаций из неофициальных источников, особенно в популярных сообществах.