2025年6月18日、Check Point Researchは、GitHub上の偽のマインクラフト(Minecraft)のMod(拡張機能)を通じてプレイヤーの情報を盗み出す多段階型マルウェア攻撃を発見しました。この攻撃は「Stargazers Ghost Network」と呼ばれる分散型マルウェア配信ネットワーク(DaaS: Distribution as a Service)を介して行われ、主に若年層やゲーマー層に被害が及んでいます。
攻撃の流れ:Modを装った三段構成のマルウェア
感染の入り口はJARファイル形式のMinecraft Modです。ユーザーがこれを導入してゲームを起動すると、以下のような流れで攻撃が進みます
-
ステージ1:Javaベースのダウンローダー
-
仮想環境(VMware、VirtualBoxなど)や解析ツール(Wireshark等)が動作していないかチェック
-
Pastebin経由で第2ステージのURLを取得・実行
-
-
ステージ2:Java製スティーラー
-
Minecraftクライアント(Feather、Lunar、Essentialなど)のアカウント情報やDiscordトークンを収集
-
Telegramのデータフォルダも含めてZIP化し、外部に送信
-
-
ステージ3:.NET製情報窃取ツール
-
ブラウザ、暗号資産ウォレット、VPN、Steamなど、あらゆる情報を一括収集
-
Discord WebhookへZIP形式でアップロード
-
全体的に構成がかなり手が込んでおり、Javaと.NETの2言語を組み合わせることでEDRやアンチウイルスソフトの検知回避も図られています。
また、特にGitHubリポジトリの見せ方が巧妙で、実在する人気Modと同じ名前を使い、Star数やアカウントもそれっぽく見せています。
攻撃者像と痕跡
この攻撃はロシア語圏の人物によるものと見られます。以下のような痕跡がありました
-
GitHubへのコミットが全てUTC+3(モスクワ時間)
-
ファイル内部やコメントにロシア語
-
Pastebinのアカウント名「JoeBidenMama」が使われ、約1,500回以上アクセスされた記録
参照
https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/
関連記事
Discordの招待リンクの脆弱性をハッカーがサイバー攻撃に悪用
悪意のあるPyPi パッケージがDiscord 開発者を標的にする
Linuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーを制御する
Discordの20億件超のメッセージデータが公開
2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
Discordで40億以上のチャットと6億のユーザーを収集、追跡していると主張する「Spy.pet」とは
Discordで53億以上のチャットと4億のユーザーを収集、追跡していると主張する「Spy.pet」が復活
Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ
ロシアのハッカーグループが欧州外交官へ偽ワイン会のフィッシングメールを送信
