恶意软件借《我的世界》模组大范围传播，超17000台设备中招

攻击者利用GitHub伪装成合法资源，窃取游戏账户、加密货币及敏感信息

Check Point Research发现，一个名为Stargazers Ghost Network的黑客组织正利用《我的世界》（Minecraft）玩家社区，通过伪装成游戏模组和作弊工具的恶意GitHub仓库进行大规模攻击，已导致超过17000台Windows设备感染。

该组织自2023年起活跃于GitHub，以“分发即服务”（DaaS）模式运作，通过虚假账号刷星来提升恶意仓库的可见度。研究人员Jaromír Hořejší和Antonis Terefos发现，攻击者建立了约500个相关仓库，涉及70个账号贡献了700颗星，主要伪装成Skyblock Extras、Polar Client、FunnyMap等热门插件或客户端工具。

攻击链始于用户下载并运行伪装成Minecraft模组的JAR文件，该加载器通过Base64编码的URL从Pastebin下载第二阶段载荷——一个可绕过所有主流反病毒检测的Java信息窃取程序。

该Java窃取器主要针对Minecraft账户令牌及主流第三方启动器（如Feather、Lunar、Essential）的用户数据，并同时窃取Discord和Telegram的身份认证令牌，通过HTTP POST请求将信息回传至攻击服务器。

更深层的第二阶段载荷为名为“44 CALIBER”的.NET信息窃取程序，可提取浏览器（Chrome、Edge、Firefox）中的密码、Cookie、历史记录，以及加密货币钱包（如Exodus、Electrum、Monero、Zcash）、Steam、FileZilla、ProtonVPN等数十类应用的敏感数据。

“44 CALIBER”还能收集系统信息、剪贴板内容，并截取受害者屏幕画面。被盗数据通过Discord Webhook传输，且日志中出现俄语注释，结合UTC+3时区的代码提交时间戳，推测攻击者具有俄罗斯背景。

Check Point已在报告中提供完整的入侵指标（IoC），供安全团队用于检测和防御。

建议《我的世界》玩家仅从可信平台下载模组，避免使用来源不明的GitHub项目。下载前应检查仓库的星标、分叉、贡献者及提交记录是否异常，并优先在隔离环境中使用独立账户测试模组，以防主账户信息泄露。