近期，网络安全研究人员发现针对《我的世界》玩家的新型多阶段恶意软件活动，该活动利用Java恶意软件，通过名为“Stargazers Ghost Network”的分发即服务（DaaS）平台传播。攻击者伪装成《我的世界》模组，诱骗玩家下载恶意软件，窃取玩家数据，包括Discord、游戏令牌、浏览器凭证、加密货币钱包信息等。研究人员推测该活动可能与俄语威胁行为者有关，并强调了下载第三方内容时保持谨慎的重要性。同时，还发现了KimJongRAT信息窃取程序的新变种，其持续开发和部署显示了此类恶意软件带来的持久威胁。

👾 攻击链始于伪装成《我的世界》模组的恶意软件，利用GitHub上的被污染代码仓库进行传播，诱使玩家下载。这些恶意模组实为Java加载器，能规避检测并下载第二阶段窃取程序。

🔑 第二阶段程序会窃取Discord和《我的世界》令牌，以及Telegram相关数据，最终投放.NET窃取程序。该程序进一步窃取浏览器凭证、文件、加密货币钱包信息等敏感数据，并截取屏幕截图。

🌐 攻击活动利用了名为“Stargazers Ghost Network”的非法服务平台，该平台通过GitHub账户建立被污染的代码仓库，伪装成破解软件和游戏作弊工具，从而传播恶意软件。

🚨 与此同时，发现了KimJongRAT信息窃取程序的新变种，该恶意软件可能与朝鲜威胁行为者有关，新变种利用PE文件和PowerShell脚本，窃取受害者信息、文件和浏览器数据，并持续更新以逃避检测。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一场新的多阶段恶意软件活动，专门针对《我的世界》（Minecraft）玩家。该活动使用基于Java的恶意软件，并利用名为“Stargazers Ghost Network”的分发即服务（DaaS）平台进行传播。

Check Point公司的研究人员雅罗米尔·霍雷伊希（Jaromír Hořejší）和安东尼斯·特雷福斯（Antonis Terefos）在一份报告中指出：“这些攻击活动导致了一个针对《我的世界》玩家的多阶段攻击链。恶意软件假冒了名为Oringo和Taunahi的工具，这些是‘脚本和宏工具’（即作弊工具）。第一和第二阶段的恶意程序均使用Java开发，并且只能在目标主机上安装了《我的世界》运行环境时才能执行。”

攻击的最终目的是诱骗玩家从GitHub下载《我的世界》模组（mod），进而投放具有全面数据窃取能力的.NET信息窃取程序。该网络安全公司于2025年3月首次检测到此活动。

该活动的显著特点是利用了名为“Stargazers Ghost Network”的非法服务平台。该网络利用数千个GitHub帐户建立被污染的代码仓库（repository），这些仓库伪装成破解软件和游戏作弊工具。

特雷福斯表示，他们已标记了“大约500个GitHub仓库，包括被复刻（fork）或复制的仓库”，并补充说“我们还观察到大约70个帐户产生了700个点赞（star）”。

这些伪装成《我的世界》模组的恶意仓库，是感染这款热门视频游戏用户的渠道。它们会投放一个Java加载器（例如“Oringo-1.8.9.jar”），截至报告发布时，该加载器仍未被任何防病毒引擎检测到。

这些Java存档（JAR）文件实施了简单的反虚拟机（anti-VM）和反分析技术以规避检测。其主要目的是下载并运行另一个JAR文件，这是一个第二阶段窃取程序，当受害者启动游戏时，它会获取并执行一个.NET窃取程序作为最终有效载荷。

第二阶段组件是从一个IP地址（“147.45.79.104”）获取的，该地址以Base64编码格式存储在Pastebin上。这本质上将Pastebin工具变成了一个“死投解析器”（dead drop resolver）。

研究人员解释说：“若要将模组添加到《我的世界》游戏中，用户必须将恶意JAR文件复制到《我的世界》的模组文件夹（mods folder）中。启动游戏后，《我的世界》进程将加载该文件夹中的所有模组，包括恶意模组，该模组随后会下载并执行第二阶段程序。”

除了下载.NET窃取程序，第二阶段窃取程序还能窃取Discord和《我的世界》的令牌（token）以及Telegram相关数据。另一方面，.NET窃取程序则能够从各种网络浏览器中窃取凭证，并收集文件、加密货币钱包信息以及其他应用程序（如Steam和FileZilla）的数据。

它还可以截取屏幕截图，并收集有关正在运行的进程、系统的外部IP地址和剪贴板内容的信息。最终，捕获的信息会被打包，并通过Discord的Webhook传输回攻击者。

研究人员怀疑该活动是一个俄语威胁行为者的手笔，因为发现了多个俄语编写的文件残留，并且攻击者的代码提交时间戳显示为UTC+3时区。据估计，可能有超过1,500台设备成为该计划的受害者。

研究人员总结道：“此案例凸显了流行的游戏社区如何被利用为恶意软件分发的有效载体，强调了下载第三方内容时保持谨慎的重要性。Stargazers Ghost Network一直在积极分发这种恶意软件，目标是那些寻求模组来增强游戏体验的《我的世界》玩家。看似无害的下载，实则是基于Java的加载器，它们会部署另外两个窃取程序，能够窃取凭证和其他敏感数据。”

KimJongRAT窃取程序新变种现身

与此同时，Palo Alto Networks公司Unit 42团队详细介绍了名为KimJongRAT的信息窃取程序的两个新变种。该恶意软件很可能与BabyShark和Stolen Pencil背后的朝鲜威胁行为者有关联。KimJongRAT早在2013年5月就已被检测到，在BabyShark攻击中作为次级载荷投放。

安全研究员多米尼克·赖歇尔（Dominik Reichel）表示：“一个新变种使用可移植可执行（PE）文件，另一个则使用PowerShell脚本实现。PE和PowerShell变种都是通过点击Windows快捷方式（LNK）文件触发的，该文件会从攻击者控制的内容分发网络（CDN）账户下载一个投放器（dropper）文件。”

PE变种的投放器会部署一个加载器（loader）、一个诱饵PDF文件和一个文本文件；而PowerShell变种的投放器则部署一个诱饵PDF文件和一个ZIP压缩包。加载器接着会下载辅助载荷，包括KimJongRAT的窃取程序组件。

PowerShell变种投放器提供的ZIP压缩包中包含嵌入了基于PowerShell的KimJongRAT窃取程序和键盘记录器组件的脚本。

这两个新变种都能够收集并传输受害者信息、符合特定扩展名的文件以及浏览器数据（如凭证和加密货币钱包扩展的详细信息）。PE变种的KimJongRAT还被设计用于窃取FTP和电子邮件客户端信息。

Unit 42团队指出：“KimJongRAT的持续开发和部署，以及其不断变化的技术（例如使用合法的CDN服务器来伪装其分发），表明其构成明确且持续的威胁。这种适应性不仅展示了此类恶意软件带来的持久威胁，也突显了其开发者更新和扩展其功能的决心。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文