Mod false di Minecraft su GitHub: rubano i dati dei giocatori

Secondo recenti scoperte di Check Point Research (CPR), una nuova campagna malware ha preso di mira i giocatori di Minecraft tramite il download di mod false. Condivisi tramite GitHub e camuffati da popolari mod cheat per Minecraft , i file veicolano un'infezione a più livelli in grado di rubare di tutto, dalle password salvate alle criptovalute.

La campagna, emersa nel marzo 2025, si concentrava sui giocatori attivi che utilizzavano mod per migliorare il loro gameplay. Mod come Oringo e Taunahi, ampiamente note nella community di cheat di Minecraft, venivano imitate per incentivare i download. Ma invece di funzionalità extra, questi file installavano malware in tre fasi.

Secondo il post sul blog di CPR, il primo downloader è arrivato da un sistema basato su Java. Dopo aver verificato che l'utente stesse utilizzando Minecraft e non un ambiente sandbox o virtuale, ha interrotto il download di uno stealer di seconda fase che ha raccolto credenziali di accesso e altri file sensibili.

Il payload finale, uno strumento spyware più avanzato, è andato ancora più a fondo. Ha analizzato i dati su Discord, Steam, Telegram, browser web e portafogli crittografici . Poteva anche acquisire screenshot e raccogliere dettagli tecnici dal computer infetto. I dati rubati tramite questa campagna sono stati poi inviati tramite Discord, rendendo l'esfiltrazione difficile da rilevare.

Alcuni indizi presenti nel codice del malware, inclusi commenti in lingua russa e modelli di attività basati su UTC+3, indicano un autore di minacce di lingua russa. L'operazione è stata collegata a un gruppo che Check Point ha definito Stargazers Ghost Network, un sistema di distribuzione di malware che utilizza un modello di distribuzione come servizio. Lo stesso sistema era già stato visto nel luglio 2024 mentre distribuiva malware attraverso oltre 3.000 falsi account GitHub.

Nell'ultima truffa di Minecraft, la ricerca di CPR ha anche tracciato la campagna su diversi repository GitHub, ognuno dei quali si spacciava per legittimi strumenti di mod. Questo ha aiutato il malware a diffondersi, evitando al contempo sospetti immediati. Sulla base di analisi interne del traffico, i ricercatori stimano che finora siano stati compromessi almeno 1.500 dispositivi.

La popolarità globale di Minecraft lo rende un bersaglio privilegiato per questo tipo di attacchi. Con oltre 200 milioni di utenti attivi al mese e più di un milione di modder, il gioco ha costruito una vasta infrastruttura di contenuti creati dagli utenti. Molti giocatori sono giovani e potrebbero non essere ben attrezzati per individuare i download falsi, soprattutto quando vengono presentati come trucchi o potenziamenti delle prestazioni.

La comunità dei modding prospera grazie alla condivisione aperta, ma questa apertura è diventata una vulnerabilità. Gli aggressori scommettono che gli utenti non verificheranno l'origine di una mod se sembra familiare.

Ecco perché nell'ottobre 2021 Minecraft è stato identificato comeil gioco più infetto da malware, dopo che i ricercatori hanno trovato 44.335 dispositivi compromessi e oltre 300.000 casi di malware che prendevano di mira i suoi giocatori.

Questo attacco è solo un altro esempio di come le piattaforme online più familiari, soprattutto quelle utilizzate da un pubblico più giovane, si stiano trasformando in canali di distribuzione di malware. Se sei un giocatore di Minecraft o un genitore di un bambino, è il momento giusto per controllare i tuoi dispositivi e le tue abitudini:

• Utilizza solo mod provenienti da piattaforme note e verificate.
• Assicurati che l'antivirus e gli aggiornamenti di sicurezza siano aggiornati.
• Evita qualsiasi mod che affermi di offrire hack, trucchi o automazioni.
• Monitora gli account collegati a Discord, piattaforme di gioco o portafogli crittografici per individuare attività sospette.