Сотни репозиториев GitHub с модами Minecraft задействованы в сложной вредоносной кампании. В основе операции лежит Stargazers Ghost Network — обнаруженная Check Point Research сложная киберпреступная инфраструктура.
В отличие от типовых кампаний по распространению вредоносного ПО, Stargazers Ghost Network представляет собой операцию по распространению услуги. Она использует тысячи поддельных учётных записей GitHub для распространения вредоносного ПО, замаскированного под моды и чит-инструменты. Эта операция использует GitHub для распространения вредоносных архивов Java, избегая обнаружения и одновременно подвергая риску более 1500 устройств. Длится она минимум с марта 2025 года.
Атака начинается, когда игроки устанавливают поддельные моды. Эти файлы JAR, разработанные как моды Minecraft Forge, активируются только при запуске игры, активируя защиту от анализа. Загрузчик проверяет виртуальные машины, инструменты безопасности, такие как Wireshark, и сетевые мониторы, завершая работу, если обнаруживается, что они обходят автоматизированные песочницы.
После прохождения этих проверок он извлекает URL-адрес Pastebin в кодировке Base64, который указывает на Java-стилер второго этапа, размещённый на контролируемых злоумышленником IP-адресах. Эта промежуточная полезная нагрузка специально нацелена на токены аутентификации из официальных и сторонних лаунчеров Minecraft, одновременно собирая данные сеансов Discord и Telegram. Украденные учётные данные передаются через запросы HTTP POST на серверы управления и контроля.
Заражение усиливается, когда стилер загружает и выполняет «44 CALIBER» — финальную полезную нагрузку на основе .NET. Этот продвинутый похититель, обнаруженный в метаданных сборки и содержащий сообщения об авторских правах на русском языке, нацелен на учётные данные браузера, криптовалютные кошельки, конфигурации VPN и файлы, хранящиеся в папках «Рабочий стол» и «Документы». Он делает снимки экрана, перехватывает содержимое буфера обмена и системные метаданные, а затем извлекает всё через веб-перехватчики Discord.
Злоумышленники зарабатывали до $8000 в месяц, а общая прибыль потенциально могла достигать $100000. База игроков Minecraft — более 200 млн пользователей в месяц, большинство из которых моложе 21 года или им немного за 20. Молодые игроки часто игнорируют риски безопасности, в то время как Java-основа вредоносного ПО позволяет ему обходить традиционные антивирусные сканирования.
