Se consideră că operatorii de limbă rusă se află în spatele rețelei de fantome Stargazers
Ce s -a întâmplat? Sute de depozite Github care oferă mod -uri Minecraft au devenit cel mai recent teren de luptă într -o campanie malware sofisticată, care vizează comunitatea de jucători vastă și creativă a jocului. În centrul acestei operații se află Stargazers Ghost Network, o infrastructură cibernetică elaborată descoperită de Check Point Research.
Spre deosebire de campaniile tipice de malware, Stargazers Ghost Network este o operațiune de distribuție ca un serviciu care folosește mii de conturi false Github pentru a răspândi software rău intenționat deghizat în moduri legitime și instrumente de înșelăciune. Această operațiune folosește platforma de încredere a lui Github pentru a distribui arhivele Java rău intenționate, sustragând detectarea în timp ce compromite peste 1.500 de dispozitive din martie 2025.
Atacul începe atunci când jucătorii instalează moduri contrafăcute, adesea în căutarea avantajelor de joc. Aceste fișiere JAR-proiectate ca mods Minecraft Forge-se activează doar atunci când jocul se lansează, implementarea imediat apărări anti-analize. Încărcătorul verifică mașinile virtuale, instrumentele de securitate precum Wireshark și monitoarele de rețea, care se termină dacă se detectează pentru a ocoli cutii de nisip automatizate.
La trecerea acestor verificări, preia un URL de pastebin codificat de bază 6 Această sarcină utilă intermediară vizează în mod specific jetoanele de autentificare de la lansatoarele oficiale și terțe ale Minecraft, în timp ce recoltează simultan datele de sesiune Discord și Telegram. Acreditele furate sunt transmise prin cererile HTTP Post către serverele de comandă și control.
Infecția escaladează pe măsură ce acest Stealer descarcă și execută „44 calibru”-o sarcină utilă finală bazată pe .NET. Identificat în metadatele sale de asamblare și cu mesaje de copyright în limba rusă, cum ar fi „F*ckthesystem Copyright © 2021”, acest avansat Stealer vizează acreditările browserului, portofele de criptocurrency, configurațiile VPN și fișierele stocate în pliantele desktop și documente. Acesta surprinde capturi de ecran, conținut de clipboard și metadate de sistem înainte de a exfiltra totul prin intermediul discordiei webhooks.
Dovezile indică operatorii de limbă rusă din spatele rețelei de fantome Stargazers, cu UTC+3 Timestamps pe angajamente rău intenționate, comentarii rusești încorporate în cod și nume de pachete care se referă la Lacul Baikal din Siberia, care susțin această concluzie.
„Stelele” false din aproximativ 70 de conturi fac ca modurile rău intenționate să pară legitime, în timp ce contoarele cu lovire de pastebin sugerează cel puțin 1.500 de infecții de succes. Motivat financiar, grupul a obținut până la 8.000 de dolari lunar, profiturile totale care ar putea ajunge la 100.000 USD.
Baza jucătorilor Minecraft-peste 200 de milioane de utilizatori lunare, cu majoritatea sub 21 de ani sau la începutul anilor 20-o face o țintă de mare valoare. Jucătorii tineri care doresc îmbunătățiri neoficiale trec adesea cu vederea riscurile de securitate, în timp ce Fundația Java a malware -ului îi permite să sustragă scanările tradiționale antivirus.
Pe măsură ce noile depozite apar zilnic, experții solicită jucătorilor să surseze moduri exclusiv de pe platforme verificate precum Curseforge. Cercetarea Check Point continuă să monitorizeze rețeaua de fantome Stargazers, cu investigații în curs de desfășurare dezvăluind noi vectori de infecție.
