一場大規模的惡意軟件活動專門針對《我的世界》玩家，他們使用惡意模型和欺騙手段感染Windows設備，通過信息竊取器竊取憑證、身份驗證令牌和加密貨幣錢包。

該活動由Check Point Research發現，由Stargazers Ghost Network進行，并利用《我的世界》大規模建模生態系統和GitHub等合法服務來吸引大量潛在目標受眾。

Check Point在Pastebin鏈接上看到了成千上萬的瀏覽量或點擊量，這些瀏覽量被威脅者用來向目標設備發送有效載荷，此次活動的影響范圍廣泛。

隱秘的Minecraft惡意軟件

Stargazers幽靈網絡是一種自去年以來活躍在GitHub上的分發即服務（DaaS）操作，首次被Check Point記錄在涉及3000個傳播虛假信息的賬戶的活動中。

同樣的操作，由虛假的GitHub星標推動，被觀察到在2024年底感染了超過17000個系統，使用了一種新型的基于Godot的惡意軟件。

由Check Point研究人員Jaromír Ho?ej?í和Antonis Terefos描述的最新活動用Java惡意軟件攻擊《我的世界》，該惡意軟件可以逃避所有反病毒引擎的檢測。

研究人員發現了多個由Stargazers運行的GitHub存儲庫，偽裝成《我的世界》（Minecraft）模型和Skyblock Extras、Polar Client、FunnyMap、Oringo和Taunahi等作弊工具。

Antonis Terefos表示目前已經確定了大約500個GitHub存儲庫，包括那些分叉或復制的，它們是針對《我的世界》玩家的行動的一部分。另外，還看到了大約70個賬戶產生的700顆星星。

參與此操作的四個存儲庫

一旦在Minecraft中執行，第一階段的JAR加載器使用base64編碼的URL從Pastebin下載下一階段，獲取基于java的竊取器。

這個竊取者的目標是Minecraft賬戶令牌和來自Minecraft啟動器和流行的第三方啟動器（如Feather， Lunar和Essential）的用戶數據。

它還試圖竊取Discord和Telegram帳戶令牌，通過HTTP POST請求將竊取的數據發送到攻擊者的服務器。

Java竊取程序還可以作為下一階段的加載程序，這是一個基于。net的竊取程序，名為“44 CALIBER”，這是一個更“傳統”的信息竊取程序，試圖竊取存儲在網絡瀏覽器、VPN帳戶數據、加密貨幣錢包、Steam、Discord和其他應用程序中的信息。

感染鏈概述

44 CALIBER還收集系統信息和剪貼板數據，并可以抓取受害者電腦的屏幕截圖。

研究人員說：“在去混淆之后，我們可以觀察到它從瀏覽器（Chromium, Edge, Firefox），文件（Desktop, Documents, %USERPROFILE%/Source），加密貨幣錢包（Armory, AtomicWallet, bitcoore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx）， vpn (ProtonVPN, OpenVPN, NordVPN), Steam, Discord, FileZilla， Telegram中竊取各種憑證。”

被盜數據是通過Discord的網絡鉤子泄露出來的，并附有俄羅斯的評論。這個線索，結合UTC+3提交時間戳，表明這個活動的操作者是俄羅斯人。

Check Point在其報告的底部分享了完整的入侵指標（ioc），以幫助檢測和阻止威脅。

為了確保安全，微軟玩家應該只從信譽良好的平臺和經過驗證的社區門戶網站下載mod。如果提示從GitHub下載，請檢查啟動、分叉和貢獻者的數量，仔細檢查提交是否有虛假活動的跡象，并檢查存儲庫上最近的操作。最后，謹慎的做法是在測試mod時使用單獨的“burner”Minecraft賬戶，避免登錄到其主賬戶。

參考及來源：https://www.bleepingcomputer.com/news/security/stargazers-use-fake-minecraft-mods-to-steal-player-passwords/