Gefälschte Minecraft-Mods auf GitHub stehlen Spielerdaten

Eine neue Malware-Kampagne zielt laut aktuellen Erkenntnissen von Check Point Research (CPR) mit gefälschten Mod-Downloads auf Minecraft-Spieler ab. Die über GitHub verbreiteten und als beliebte Minecraft-Cheat-Mods getarnten Dateien enthalten eine mehrschichtige Infektion, die alles von gespeicherten Passwörtern bis hin zu Kryptowährungen stehlen kann.

Die Kampagne, die im März 2025 auftauchte, konzentrierte sich auf aktive Spieler, die Mods nutzten, um ihr Gameplay zu verbessern. Mods wie Oringo und Taunahi, die in der Minecraft-Cheat-Community weithin bekannt sind, wurden nachgeahmt, um Downloads anzulocken. Doch statt zusätzlicher Funktionen installierten diese Dateien in drei Schritten Schadsoftware.

Laut einem Blogbeitrag von CPR kam zunächst ein Java-basierter Downloader zum Einsatz. Nachdem bestätigt wurde, dass der Benutzer Minecraft und keine Sandbox- oder virtuelle Umgebung nutzte, unterbrach der Download eines Second-Stage-Stealers, der Anmeldedaten und andere sensible Dateien abgriff.

Die finale Payload, ein fortschrittlicheres Spyware-Tool, grub sich noch tiefer ein. Es suchte nach Daten in Discord, Steam, Telegram, Webbrowsern und Krypto-Wallets . Es konnte außerdem Screenshots erstellen und technische Daten des infizierten Rechners sammeln. Die im Rahmen dieser Kampagne gestohlenen Daten wurden dann über Discord verschickt, was die Exfiltration schwer erkennbar machte.

Hinweise im Code der Malware, darunter russischsprachige Kommentare und UTC+3-basierte Aktivitätsmuster, deuten auf einen russischsprachigen Bedrohungsakteur hin. Die Operation wurde mit einer Gruppe in Verbindung gebracht, die Check Point als Stargazers Ghost Network bezeichnete, einem Malware-Verbreitungssystem, das ein Distribution-as-a-Service-Modell verwendet. Dasselbe System wurde bereits im Juli 2024 dabei beobachtet, wie es Malware über mehr als 3.000 gefälschte GitHub-Konten verbreitete.

Im jüngsten Minecraft-Betrugsfall konnte CPR die Kampagne auch über mehrere GitHub-Repositories verfolgen, die sich jeweils als legitime Mod-Tools ausgaben. Dies verhalf der Malware zu größerer Reichweite und verhinderte gleichzeitig den unmittelbaren Verdacht. Basierend auf internen Verkehrsanalysen schätzen die Forscher, dass bisher mindestens 1.500 Geräte kompromittiert worden sein könnten.

Minecraft ist weltweit beliebt und daher ein beliebtes Ziel für derartige Angriffe. Mit über 200 Millionen aktiven Nutzern pro Monat und über einer Million Moddern verfügt das Spiel über eine umfangreiche Infrastruktur an nutzergenerierten Inhalten. Viele Spieler sind jung und daher möglicherweise nicht in der Lage, gefälschte Downloads zu erkennen, insbesondere wenn sie als Leistungssteigerung oder Cheats angeboten werden.

Die Modding-Community lebt vom offenen Teilen, doch diese Offenheit ist zu einer Schwachstelle geworden. Angreifer setzen darauf, dass Benutzer die Herkunft eines Mods nicht noch einmal überprüfen, wenn dieser ihnen bekannt vorkommt.

Aus diesem Grund wurde Minecraft im Oktober 2021 alsdas am stärksten mit Malware infizierte Spiel identifiziert, nachdem Forscher 44.335 kompromittierte Geräte und über 300.000 Malware-Fälle entdeckt hatten, die auf die Spieler des Spiels abzielten.

Dieser Angriff ist ein weiteres Beispiel dafür, wie bekannte Online-Plattformen, insbesondere solche, die von jüngeren Nutzern genutzt werden, zu Verbreitungskanälen für Malware werden. Wenn Sie Minecraft spielen oder ein Elternteil eines Spielers sind, ist jetzt ein guter Zeitpunkt, Ihre Geräte und Gewohnheiten zu überprüfen:

• Bleiben Sie bei Mods von bekannten und geprüften Plattformen.
• Stellen Sie sicher, dass Ihre Antiviren- und Sicherheitsupdates auf dem neuesten Stand sind.
• Vermeiden Sie Mods, die behaupten, Hacks, Cheats oder Automatisierung anzubieten.
• Überwachen Sie mit Discord, Gaming-Plattformen oder Krypto-Wallets verknüpfte Konten auf verdächtige Aktivitäten.