GitHub'da Sahte Minecraft Modları Oyuncu Verilerini Çalarken Bulundu

Check Point Research'ün (CPR) son bulgularına göre, sahte mod indirmeleri yoluyla Minecraft oyuncularını hedef alan yeni bir kötü amaçlı yazılım kampanyası var. GitHub üzerinden paylaşılan ve popüler Minecraft hile modları olarak gizlenen dosyalar, kayıtlı parolalardan kripto para birimine kadar her şeyi çalabilen katmanlı bir enfeksiyon taşıyor.

Mart 2025'te ortaya çıkan kampanya, oyunlarını geliştirmek için mod kullanan aktif oyunculara odaklandı. Minecraft hile topluluğunda yaygın olarak bilinen Oringo ve Taunahi gibi modlar, indirmeleri çekmek için taklit edildi. Ancak ekstra özellikler yerine, bu dosyalar üç aşamada kötü amaçlı yazılım yükledi.

CPR'nin blog yazısına göre, ilk önce Java tabanlı bir indirici geldi. Kullanıcının Minecraft'ı çalıştırdığını ve korumalı veya sanal bir ortam çalıştırmadığını doğruladıktan sonra, oturum açma kimlik bilgilerini ve diğer hassas dosyaları toplayan ikinci aşama bir hırsızın indirilmesini bıraktı.

Son yük, daha gelişmiş bir casus yazılım aracı, daha da derinlere indi. Discord, Steam, Telegram, web tarayıcıları ve kripto cüzdanlarındaki verileri taradı. Ayrıca ekran görüntüleri alabilir ve enfekte olmuş makineden teknik ayrıntıları toplayabilirdi. Bu kampanya aracılığıyla çalınan veriler daha sonra Discord üzerinden gönderiliyordu ve bu da sızdırmanın tespit edilmesini zorlaştırıyordu.

Kötü amaçlı yazılımın kodundan gelen ipuçları, Rusça yorumlar ve UTC+3 tabanlı etkinlik kalıpları dahil, Rusça konuşan bir tehdit aktörüne işaret ediyor. Operasyon, bir hizmet olarak dağıtım modeli kullanan bir kötü amaçlı yazılım dağıtım sistemi olan Stargazers Ghost Network olarak adlandırılan bir Check Point grubuyla bağlantılıydı. Aynı sistem daha önce Temmuz 2024'te 3.000'den fazla sahte GitHub hesabı aracılığıyla kötü amaçlı yazılım dağıtırken görülmüştü.

Son Minecraft dolandırıcılığında, CPR'nin araştırması kampanyayı her biri meşru mod araçları olarak poz veren çeşitli GitHub depolarında da izledi. Bu, kötü amaçlı yazılımın anında şüphe çekmeden erişim kazanmasına yardımcı oldu. Dahili trafik analizine dayanarak, araştırmacılar şimdiye kadar en az 1.500 cihazın tehlikeye atılmış olabileceğini tahmin ediyor.

Minecraft'ın küresel popülaritesi onu bu tür saldırılar için birincil hedef haline getiriyor. Aylık 200 milyondan fazla aktif kullanıcı ve bir milyondan fazla mod yapımcısıyla oyun, kullanıcılar tarafından oluşturulan içeriklerden oluşan kapsamlı bir altyapı oluşturdu. Birçok oyuncu genç ve özellikle performans artırıcılar veya hileler olarak sunulduğunda sahte indirmeleri tespit etmek için yeterli donanıma sahip olmayabilir.

Modlama topluluğu açık paylaşımla gelişir, ancak bu açıklık bir güvenlik açığı haline geldi. Saldırganlar, kullanıcıların tanıdık görünen bir modun kökenini iki kez kontrol etmeyeceklerine bahse giriyor.

İşte bu nedenle, araştırmacılar Ekim 2021'de 44.335 tehlikeye atılmış cihaz ve oyuncularını hedef alan 300.000'den fazla kötü amaçlı yazılım vakası bulduktan sonra Minecraft, en çok kötü amaçlı yazılım bulaşmış oyun olarak belirlendi.

Bu saldırı, özellikle genç kitleler tarafından kullanılan bilindik çevrimiçi platformların kötü amaçlı yazılım dağıtım kanallarına nasıl dönüştürüldüğünün bir başka örneğidir. Eğer bir Minecraft oyuncusuysanız veya bir Minecraft çocuğunun ebeveyniyseniz, cihazlarınızı ve alışkanlıklarınızı kontrol etmek için şimdi iyi bir zaman:

• Bilinen ve doğrulanmış platformlardaki modlara bağlı kalın.
• Antivirüs ve güvenlik güncellemelerinizin güncel olduğundan emin olun.
• Hile, hile veya otomasyon sunduğunu iddia eden modlardan kaçının.
• Şüpheli etkinliklere karşı Discord'a, oyun platformlarına veya kripto cüzdanlarına bağlı hesapları izleyin.