Mods falsos do Minecraft encontrados no GitHub roubando dados de jogadores

Uma nova campanha de malware tem como alvo jogadores de Minecraft por meio de downloads falsos de mods, de acordo com descobertas recentes da Check Point Research (CPR). Compartilhados pelo GitHub e disfarçados de cheat mods populares de Minecraft , os arquivos carregam uma infecção em camadas que pode roubar tudo, desde senhas salvas até criptomoedas.

A campanha, que surgiu em março de 2025, focava em jogadores ativos que usavam mods para aprimorar sua jogabilidade. Mods como Oringo e Taunahi, amplamente conhecidos na comunidade de trapaças do Minecraft, foram copiados para atrair downloads. Mas, em vez de recursos extras, esses arquivos instalavam malware em três etapas.

De acordo com a publicação no blog do CPR, primeiro foi instalado um downloader baseado em Java. Após confirmar que o usuário estava executando o Minecraft e não um ambiente virtual ou sandbox, ele interrompeu o download de um ladrão de segundo estágio que coletava credenciais de login e outros arquivos confidenciais.

O payload final, uma ferramenta de spyware mais avançada, investigou ainda mais a fundo. Ele escaneou dados no Discord, Steam, Telegram, navegadores da web e carteiras de criptomoedas . Também conseguiu capturar capturas de tela e coletar detalhes técnicos da máquina infectada. Os dados roubados por meio dessa campanha foram então enviados pelo Discord, dificultando a detecção da exfiltração.

Indícios no código do malware, incluindo comentários em russo e padrões de atividade baseados em UTC+3, apontam para um agente de ameaça de língua russa. A operação estava vinculada a um grupo que a Check Point chamou de Stargazers Ghost Network, um sistema de distribuição de malware que utiliza um modelo de distribuição como serviço. O mesmo sistema foi visto anteriormente em julho de 2024 distribuindo malware por meio de mais de 3.000 contas falsas do GitHub.

No golpe mais recente do Minecraft, a pesquisa da CPR também rastreou a campanha em vários repositórios do GitHub, cada um se passando por ferramentas de modificação legítimas. Isso ajudou o malware a ganhar alcance, evitando suspeitas imediatas. Com base na análise de tráfego interno, os pesquisadores estimam que pelo menos 1.500 dispositivos podem ter sido comprometidos até o momento.

A popularidade global do Minecraft o torna um alvo preferencial para esse tipo de ataque. Com mais de 200 milhões de usuários ativos mensais e mais de um milhão de modders, o jogo construiu uma extensa infraestrutura de conteúdo criado por usuários. Muitos jogadores são jovens e podem não estar bem preparados para identificar downloads falsos, especialmente quando apresentados como impulsionadores de desempenho ou trapaças.

A comunidade de modders prospera com o compartilhamento aberto, mas essa abertura se tornou uma vulnerabilidade. Os invasores apostam que os usuários não verificarão a origem de um mod se ele parecer familiar.

É por isso que em outubro de 2021, o Minecraft foi identificado comoo jogo mais infectado por malware depois que pesquisadores encontraram 44.335 dispositivos comprometidos e mais de 300.000 casos de malware direcionados aos seus jogadores.

Este ataque é apenas mais um exemplo de como plataformas online conhecidas, especialmente aquelas usadas por públicos mais jovens, estão se tornando canais de distribuição de malware. Se você joga Minecraft ou tem um filho, agora é um bom momento para verificar seus dispositivos e hábitos:

• Use mods de plataformas conhecidas e verificadas.
• Certifique-se de que seu antivírus e atualizações de segurança estejam atualizados.
• Evite qualquer mod que diga oferecer hacks, cheats ou automação.
• Monitore contas vinculadas ao Discord, plataformas de jogos ou carteiras de criptomoedas em busca de atividades suspeitas.