Chiến dịch phần mềm độc hại đa tầng tấn công người chơi Minecraft bằng mã độc Java và KimJongRAT biến thể mới
Một chiến dịch phát tán mã độc quy mô lớn đang nhắm vào cộng đồng người chơi Minecraft thông qua các bản mod giả mạo, sử dụng mã độc Java và mô hình phân phối dưới dạng dịch vụ DaaS mang tên Stargazers Ghost Network. Theo các nhà nghiên cứu của Check Point, kể từ tháng 3 năm 2025, đã có hơn 1.500 thiết bị bị lây nhiễm bởi các mod độc hại này, chủ yếu được phân phối qua hàng trăm kho lưu trữ GitHub giả mạo, đóng vai trò như các công cụ cheat nổi tiếng như Oringo và Taunahi.
Quy trình tấn công bắt đầu khi người dùng tải về một file JAR giả mạo mod Minecraft từ GitHub, sau đó chép vào thư mục mods của game. Khi khởi động Minecraft, mod độc hại này sẽ được nạp đầu tiên, thực hiện các kỹ thuật chống phân tích, kiểm tra môi trường ảo hóa và chỉ tiếp tục nếu phát hiện hệ thống thực sự có cài Minecraft. Nếu vượt qua được các kiểm tra này, mã độc sẽ tải về một stealer Java giai đoạn hai từ một địa chỉ IP được mã hóa base64 lưu trên Pastebin. Stealer này tiếp tục tải về và thực thi payload cuối cùng là stealer .NET với khả năng đánh cắp dữ liệu mạnh mẽ.
Các stealer này không chỉ thu thập token đăng nhập Minecraft, Discord, Telegram mà còn đánh cắp thông tin trình duyệt, ví tiền mã hóa, tài khoản Steam, FileZilla, VPN và nhiều ứng dụng khác. Chúng còn có thể chụp màn hình, lấy dữ liệu clipboard, thông tin hệ thống và gửi toàn bộ dữ liệu về máy chủ của kẻ tấn công thông qua webhook Discord, giúp mã độc dễ dàng ẩn mình trong lưu lượng hợp pháp.
Các kho lưu trữ độc hại này được vận hành bởi Stargazers Ghost Network, sử dụng hàng nghìn tài khoản GitHub giả, tạo sao ảo để tăng độ tin cậy. Theo thống kê, có khoảng 500 repository độc hại và 70 tài khoản đã tạo ra 700 lượt star giả mạo nhằm đánh lừa người dùng Minecraft. Toàn bộ chiến dịch bị nghi ngờ do các tác nhân nói tiếng Nga thực hiện, dựa trên các dấu vết ngôn ngữ và múi giờ UTC+3 trong các commit.
Song song với đó, các nhà nghiên cứu bảo mật cũng phát hiện hai biến thể mới của mã độc KimJongRAT, một sử dụng file thực thi PE và một sử dụng PowerShell. Cả hai đều bắt đầu từ một file shortcut Windows LNK giả mạo, khi người dùng bấm vào sẽ tải về thêm các payload từ CDN hợp pháp, triển khai các thành phần đánh cắp dữ liệu như thông tin trình duyệt, ví tiền mã hóa, email, FTP và nhiều loại dữ liệu nhạy cảm khác. Đặc biệt, biến thể PowerShell tập trung đánh cắp dữ liệu ví tiền mã hóa từ các extension trình duyệt như MetaMask, Trust Wallet, TronLink và duy trì quyền truy cập liên tục nhờ script VBS tự động chạy khi đăng nhập Windows.
Các chuyên gia cảnh báo cộng đồng game thủ và người dùng nên tuyệt đối tránh tải mod Minecraft từ các kho GitHub không xác thực hoặc có dấu hiệu bất thường, chỉ nên sử dụng các nền tảng mod chính thống như CurseForge hoặc Modrinth để hạn chế nguy cơ bị lây nhiễm mã độc. Chiến dịch này cho thấy môi trường game trực tuyến và cộng đồng modding đang trở thành mục tiêu hấp dẫn cho tội phạm mạng, đặc biệt khi các kỹ thuật phân phối và che giấu ngày càng tinh vi, vượt qua được hầu hết các giải pháp diệt virus truyền thống.
