كشف باحثون في الأمن السيبراني عن حملة خبيثة متعددة المراحل تستهدف لاعبي لعبة Minecraft، حيث تم استخدام برمجيات ضارة مكتوبة بلغة Java تتنكر على هيئة إضافات (Mods) للعبة، وتُوزع عبر مستودعات GitHub مزيفة ضمن شبكة تُعرف باسم “Stargazers Ghost Network”.
ووفقًا لتقرير صادر عن شركة Check Point، فإن البرمجيات الخبيثة تنتحل أسماء أدوات شهيرة مثل Oringo وTaunahi، وتُصمم خصيصًا لتعمل فقط في بيئة Minecraft. بعد تثبيت الإضافة، تقوم بتحميل مرحلة ثانية من البرمجية الخبيثة، والتي بدورها تُنزل أداة تجسس مكتوبة بلغة.NET قادرة على سرقة بيانات حساسة من المتصفح، محافظ العملات الرقمية، تطبيقات مثل Steam وFileZilla، بالإضافة إلى رموز Discord وTelegram.
كيف تعمل الهجمة؟
1. يُخدع المستخدم لتحميل إضافة Minecraft من GitHub.
2. تُثبت الإضافة في مجلد Mods الخاص باللعبة.
3. عند تشغيل اللعبة، تُفعّل البرمجية الخبيثة وتبدأ بتنفيذ سلسلة من المراحل الخفية.
4. تُرسل البيانات المسروقة إلى المهاجم عبر Discord Webhook.
مؤشرات على تورط جهات ناطقة بالروسية
أشارت التحقيقات إلى أن الحملة قد تكون من تنفيذ جهة ناطقة بالروسية، استنادًا إلى توقيتات النشر وتعليقات برمجية باللغة الروسية. ويُقدّر أن أكثر من 1,500 جهاز قد تأثر بهذه الحملة حتى الآن.
تطورات موازية: KimJongRAT يعود بنسخ جديدة
في سياق متصل، رصدت شركة Palo Alto Networks نسختين جديدتين من أداة التجسس KimJongRAT، إحداهما تعتمد على ملفات تنفيذية (PE) والأخرى على PowerShell، وتستهدف سرقة بيانات من المتصفحات ومحافظ العملات الرقمية، باستخدام شبكات CDN لإخفاء مصدر الهجوم.
