Una nuova e sofisticata campagna di malware basata su Java sta prendendo di mira i giocatori di Minecraft, sfruttando la popolarità dei mod per veicolare un attacco a più stadi capace di rubare dati sensibili senza farsi rilevare.
Un attacco mirato travestito da mod di Minecraft
Secondo i ricercatori di Check Point, la minaccia è stata scoperta a marzo 2025 ed è gestita da un’operazione di tipo DaaS (Distribution-as-a-Service) chiamata Stargazers Ghost Network. Il meccanismo si basa sulla creazione di centinaia di repository GitHub falsi che ospitano mod Minecraft contraffatti, spesso presentati come strumenti di cheating popolari come Oringo o Taunahi.
I file incriminati sono .jar, quindi eseguibili solo su macchine con Minecraft installato, dettaglio che conferma l’attacco estremamente mirato alla community dei giocatori.
La catena dell’infezione in tre fasi
- Loader iniziale: Il file .jar scaricato contiene un primo payload Java che avvia il processo.
- Secondo stadio: Il loader esegue una richiesta a un link Pastebin, recuperando un indirizzo IP codificato in base64.
- Payload finale: Da questo IP viene scaricato un malware scritto in .NET che funge da information stealer.
Cosa viene rubato?
Il payload finale è in grado di sottrarre un’ampia gamma di dati sensibili:
- Credenziali dai browser
- Token di Discord e Minecraft
- Dati di Telegram
- Account Steam e FileZilla
- Wallet crypto
- Contenuti degli appunti, processi attivi, screenshot
Tutti i dati raccolti vengono inviati tramite Discord webhook, sfruttando l’API del popolare servizio di messaggistica per trasferire le informazioni ai server degli attaccanti.
Come funziona il sistema di distribuzione?
La Stargazers Ghost Network ha caricato circa 500 repository falsi su GitHub, molti dei quali clonati da altri progetti per sembrare legittimi. Utilizzando 70 account diversi, gli aggressori hanno attribuito oltre 700 stelle GitHub a questi repository per aumentarne la credibilità e la visibilità.
Una volta che il file .jar viene collocato nella cartella “mods” di Minecraft, l’infezione si attiva automaticamente all’avvio del gioco, senza bisogno di ulteriori interazioni da parte dell’utente.
Chi c’è dietro l’operazione?
L’analisi del codice e dei timestamp ha portato i ricercatori a ritenere che l’attacco sia di origine russa. Gli orari dei commit corrispondono al fuso orario UTC+3 e sono stati individuati articoli in lingua russa nel codice sorgente. Si stima che oltre 1.500 dispositivi siano già stati compromessi.
Perché è un attacco preoccupante?
Questa campagna dimostra come le community legate ai videogiochi, in particolare a titoli con una scena modding attiva come Minecraft, possano essere facilmente sfruttate come vettori di infezione. Gli utenti sono abituati a fidarsi di GitHub, e ciò rende i falsi mod una porta d’ingresso a basso sospetto ma ad alto impatto.
Collegamento con KimJongRAT
In parallelo, Palo Alto Networks – Unit 42 ha individuato due nuove varianti di KimJongRAT, un info-stealer associato alla Corea del Nord. Queste varianti usano file .lnk (scorciatoie di Windows) e PowerShell per distribuire ZIP contenenti script e payload malevoli, capaci di:
- Raccogliere documenti sensibili, credenziali browser e dati e-mail
- Rubare informazioni su wallet crypto
- Utilizzare CDN legittimi per mascherare la distribuzione
Il caso di 3dSen PC e delle varianti di KimJongRAT dimostra che il malware moderno si adatta e si mimetizza con strumenti familiari per le vittime. Per difendersi:
- Scaricare mod solo da fonti ufficiali o verificate
- Evitare GitHub se il repository non ha referenze o attività verificabili
- Usare antivirus aggiornati e strumenti di sandboxing
- Monitorare account sensibili dopo l’installazione di contenuti esterni
La comunità di Minecraft deve oggi affrontare una nuova sfida: difendere la propria creatività da chi sfrutta la passione dei giocatori per fini malevoli.
Quando acquisti da Amazon e/o Instant Gaming e/o TEMU, oppure sottoscrivi un abbonamento ad Amazon Prime tramite i link inclusi negli articoli, supporterai TechGaming, inoltre le Recensioni sono da considerarsi ARTICOLI SPONSORIZZATI, avendo ricevuto GRATIS dai PR il materiale necessario per svolgere il lavoro. Tutte le regolamentazioni sono riportate nella pagina Disclaimer