Negli ultimi mesi, oltre 1500 giocatori di Minecraft sono stati colpiti da una sofisticata campagna malware basata su Java, che sfrutta mod malevoli distribuiti su GitHub. Gli attacchi, rilevati per la prima volta a marzo 2025 da ricercatori di sicurezza, sfruttano la popolarità delle mod di Minecraft per diffondere un malware in più fasi, progettato per rubare dati sensibili e credenziali.

Punto di partenza della campagna

Il punto di partenza di questa campagna è rappresentato da repository GitHub che si spacciano per mod o cheat di Minecraft, ma che in realtà contengono file JAR malevoli. Questi file, apparentemente innocui, implementano tecniche anti-analisi e anti-virtual machine per evitare la rilevazione da parte degli antivirus. Quando un utente scarica e inserisce la mod nella cartella dei mod di Minecraft, il malware viene caricato all’avvio del gioco, dando il via a una catena di infezione multi-stage.

Catena di infezione

La prima fase consiste in un Java loader che scarica ed esegue un secondo file JAR, sempre in Java, che a sua volta recupera un payload .NET stealer. L’indirizzo IP da cui viene scaricata la seconda fase è nascosto su Pastebin, codificato in Base64, per complicare ulteriormente le indagini. Questo .NET stealer è particolarmente pericoloso, in quanto può sottrarre credenziali da browser, token di Discord, dati Telegram, wallet di criptovalute e informazioni da applicazioni come Steam e FileZilla. Inoltre, il malware può effettuare screenshot, catturare dati dal clipboard e raccogliere informazioni sui processi in esecuzione e sull’indirizzo IP pubblico della vittima.

Esfiltrazione dei dati e diffusione

Tutti i dati rubati vengono poi inviati agli attaccanti tramite webhook Discord, rendendo difficile tracciare i responsabili. L’operazione si appoggia a una piattaforma illecita nota come Stargazers Ghost Network, che utilizza centinaia di account GitHub per creare repository dannosi, aumentando così la diffusione del malware tra i giocatori in cerca di mod.

Origine e raccomandazioni

La campagna è attribuita a un attore di minaccia di lingua russa, come suggeriscono diversi indizi linguistici e il fuso orario dei commit. Questo attacco sottolinea i rischi legati al download di contenuti di terze parti, soprattutto in comunità di gaming molto attive come quella di Minecraft. I ricercatori raccomandano massima attenzione nel verificare la provenienza delle mod e l’uso di soluzioni di sicurezza aggiornate per proteggere i propri dati.